谷歌錢包被曝存低級漏洞 或致用戶資金被竊

新浪科技訊 北京時間2月10日晚間消息，美國媒體報道稱，谷歌錢包(Google Wallet)服務的一個漏洞能夠使攻擊者獲得用戶的個人識別碼(PIN)並竊取帳戶中的資金，攻擊者甚至沒有必要掌握專門的黑客技術。

本周早些時候，信息安全公司Zvelo發現了一個谷歌錢包近場通信(NFC)支付系統的漏洞，導致攻擊者可以獲得用戶手機的控制權，並竊取用戶帳戶中的資金。這一漏洞只有在用戶的Android設備獲得Root權限，同時沒有設置鎖屏密碼的情況下才能被利用。

不過，科技博客TheSmartphoneChamp發現了另一個漏洞，能夠對沒有獲得Root權限的Android設備起作用。科技博客Gizmodo指出，最嚴重的問題在于，這一方法十分簡單，非技術專家也可以進行攻擊。

攻擊者只要清空應用設置中的數據，就可以重新設置PIN碼。只要輸入新的PIN碼，並綁定一張谷歌預付費卡，那麼手機中此前預存的資金將可以繼續使用。隨後，無論什麼人只要持有該手機，並在刷卡設備前刷一下，輸入他們新設定的PIN碼，那麼就可以消費。

對于這一問題，谷歌發布聲明稱：“我們強烈建議丟失手機，或希望出售手機的人撥打谷歌錢包的免費技術支持電話855-492-5538，關閉預付費卡功\能。我們正在開發一個自動解決方案，並將很快發布這一方案。我們還建議，所有谷歌錢包的用戶設定鎖屏密碼，以更好地保護手機。”

目前用戶可以做的是啟用鎖屏密碼，對存儲系統進行加密，以及避免手機被別人拿開。不過在現實中，最後一點總是很難做到。

谷歌錢包目前的普及率還很低，只有Sprint運營的三星Nexus 4G手機支持這一服務。這意味著不會有太多人受到影響。不過這一問題也表明，隨著近場通信技術的發展，一些新的信息安全問題也在出現。只有解決這些問題，該技術才能成為主流。(維金)