谷歌錢包存安全漏洞 暫停與預付費卡關聯功能

在谷歌錢包的漏洞被曝光後，谷歌上周六已經暫停了該服務與預付費卡的關聯功能。

在這一聲明發布前，有關谷歌錢包的漏洞可以導致用戶資金被竊的消息，已經在互聯網上傳得沸沸揚揚。利用這一漏洞，未授權用戶也可以竊取用戶賬號資金。

谷歌錢包和支付業務副總裁奧薩馬‧拜德勒 (Osama Bedler) 說："我們很快就將發布正式解決方案，在此之前，將繼續採取這一預防措施。"

這一安全漏洞是上周四被一個自稱 "The Smartphone Champ" 的博客作者揭露的。他表示，打開 Android 手機的設置界面，清空所有有關谷歌錢包的設置，未經授權的用戶就可以訪問此前與該服務關聯的預付費卡賬號。

此前一天，安全公司 Zvelo 剛剛發布了一種破解谷歌錢包 PIN 碼的方法。該公司發現，谷歌錢包的 PIN 碼並未存儲在硬件 "安全單元" 中，而是存放於一個被 Android 系統保護的數據庫中。通過對該數據庫的強力攻擊，黑客就可以獲取 PIN 碼。

但這種攻擊僅適用於獲得了 Root 權限的賬號。手機廠商都不鼓勵用戶獲取 Root 權限，因為這樣不僅會影響設備保修，而且可能會產生安全漏洞。

如果用戶設置了鎖屏密碼，便可不受這兩項漏洞的影響。該功能會在手機被激活時要求用戶輸入 PIN 碼，而如果未授權用戶不知道 PIN 碼，便無法發動攻擊。但很多用戶因為怕麻煩並未設置這一功能。

值得注意的是，未經授權的用戶都必須親手接觸到手機才能利用上述漏洞，而無法通過惡意軟件遠程操作。

另外，這些漏洞都源於谷歌錢包，而非該服務所使用的 NFC (近場通訊) 技術。例如，如果谷歌將谷歌錢包的 PIN 碼存放在硬件的安全單元中，幾乎就不會被破解。而 Zvelo 研究員約書亞‧魯賓 (Joshua Rubin) 也表示："即使出現這兩個漏洞，谷歌錢包仍比目前使用的信用卡更安全。"