TechRoomage

Google Wallet存安全漏洞 支付帳號易被盜用

0 8

【搜狐IT消息】2月13日消息,通過一些簡單的程序,一些Android智能手機能讓任何人使用手機中的Google Wallet,這是Google推出的移動支付服務。移動支付是用來替代信用卡的。不需要黑客,只要幾分鐘,就可以盜取帳號,支付費用。

最近,博客The Smartphone Champ刊文,通過一段視頻介紹了Google Wallet的漏洞。如果用戶將手放在Android設備上,然後進入程序設置,清空Google Wallet的數據。當再度打開Google Wallet,服務會要求用戶重新建立新的個人身份帳號。在輸入新的個人身份帳號后,就可以進入Google預付卡 (Prepaid Card),使用裡面的錢採購。

最根本的問題在於,Google預付卡是附屬於設備本身的,它不是一個特殊帳號。因此,如果你丟掉了Android手機,或者賣掉了手機,用戶只需要重置Google Wallet,輸入新的身份帳號,就可以使用你的錢了。

並不是所有的Android受到影響。Google只在一款手機、一類網路上提供:三星Nexus S 4G和Sprint的網路。Google Wallet與終端設備PayPas一同協作,後者是廣為流傳的無線支付技術,它支持智能手機付款。

Google已經知道安全問題,它在一份聲明中建議用戶,如果丟了手機,或者想賣掉手機,可以打電話讓預付卡無效化。它還承諾會提供修復。

聲明說:”我們強烈建議丟失手機、或者想出售手機的人,撥打Google Wallet免費支持電話855-492-5538,讓預付卡無效化。我們正在開發程序,自動修改問題,很快會推出。我們還建議所有Wallet用戶設定鎖屏功能,給手機多一層保護。”

Accuvant安全公司研究顧問米勒(Charlie Miller)說,漏洞導致Google Wallet的目的無法達成。他解釋說,本來需要身份確認帳號是為了提高安全,將它與傳統信用卡對比,不過由於有漏洞,使得額外的保護無效化。米勒還說: “我寧可丟了手機,也不要丟了錢包。”

就在該漏洞發現一天前,Zvelo安全公司也提供一種方法,它可以獲得用戶的身份確認帳號。不過,漏洞只在“Root”過的機器上有效,經過Root的設備,用戶可以深度接入設備。Root過的設備保護性會降低。

Google新聞發言人泰勒(Nate Tyler)表示,如果用戶要用Wallet,不建議Root設備。如果其它人Root設備,身份確認號會無法接入。

Google在聲明中說:“Zvelo報告是在自己手機上Root后得出的,它讓安全機制無效化,正是這種安全機制保護了Google Wallet。到目前為止,沒有發現有漏洞可以讓人拿到消費者的手機,然後獲得Root許可權,上面保存有任何Wallet信息,比如身份證確認號。不支持用戶在Root過的設備上使用Wallet,也建議用戶一直設定屏幕鎖定,給手機多一層保護。”(Alley)

Leave A Reply

Your email address will not be published.