谷歌錢包存安全漏洞 暫停與預付費卡關聯功\能

新浪科技訊 北京時間2月13日早間消息，在谷歌錢包的漏洞被曝光後，谷歌上周六已經暫停了該服務與預付費卡的關聯功\能。

在這一聲明發布前，有關谷歌錢包的漏洞可以導致用戶資金被竊的消息，已經在互聯網上傳得沸沸揚揚。利用這一漏洞，未授權用戶也可以竊取用戶賬號資金。

谷歌錢包和支付業務副總裁奧薩馬‧拜德勒(Osama Bedler)說：“我們很快就將發布正式解決方案，在此之前，將繼續採取這一預防措施。”

這一安全漏洞是上周四被一個自稱“The Smartphone Champ”的博客作者揭露的。他表示，打開Android手機的設置界面，清空所有有關谷歌錢包的設置，未經授權的用戶就可以訪問此前與該服務關聯的預付費卡賬號。

此前一天，安全公司Zvelo剛剛發布了一種破解谷歌錢包PIN碼的方法。該公司發現，谷歌錢包的PIN碼並未存儲在硬件“安全單元”中，而是存放于一個被Android系統保護的數據庫中。通過對該數據庫的強力攻擊，黑客就可以獲取PIN碼。

但這種攻擊僅適用于獲得了Root權限的賬號。手機廠商都不鼓勵用戶獲取Root權限，因為這樣不僅會影響設備保修，而且可能會產生安全漏洞。

如果用戶設置了鎖屏密碼，便可不受這兩項漏洞的影響。該功\能會在手機被激活時要求用戶輸入PIN碼，而如果未授權用戶不知道PIN碼，便無法發動攻擊。但很多用戶因為怕麻煩並未設置這一功\能。

值得注意的是，未經授權的用戶都必須親手接觸到手機才能利用上述漏洞，而無法通過惡意軟件遠程操作。

另外，這些漏洞都源于谷歌錢包，而非該服務所使用的NFC(近場通訊)技術。例如，如果谷歌將谷歌錢包的PIN碼存放在硬件的安全單元中，幾乎就不會被破解。而Zvelo研究員約書亞‧魯賓(Joshua Rubin)也表示：“即使出現這兩個漏洞，谷歌錢包仍比目前使用的信用卡更安全。”(書聿)