【IT商業(yè)新聞網(wǎng)綜合】 (記者 付澠) 2月13日消息,此前谷歌錢包被曝安全漏洞。任何人通過BUG操作都能使用其他人手機(jī)中谷歌錢包里的錢。而今早最新消息顯示,谷歌已經(jīng)暫停連接到其移動錢包服務(wù)的信用卡的預(yù)付費(fèi)功能。
據(jù)鳳凰網(wǎng)科技報(bào)道,在網(wǎng)上流傳谷歌錢包服務(wù)的設(shè)計(jì)漏洞能夠讓非授權(quán)手機(jī)用戶通過重新配置谷歌錢包的設(shè)置利用信用卡上的現(xiàn)有余額之后,谷歌周六采取了上述措施。
谷歌錢包和支付業(yè)務(wù)副總裁奧薩馬·貝迪爾(Osama Bedier)在公司個博客中稱,在我們很快發(fā)布一個永久性的補(bǔ)丁之前,我們采取這個步驟作為一項(xiàng)預(yù)防措施。
這個安全漏洞是一個網(wǎng)名為“智能手機(jī)冠軍”的博客作者在上周四披露的。他解釋說,打開Android手機(jī)的設(shè)置部分,清空谷歌錢包的所有設(shè)置,一個非授權(quán)用戶就能訪問以前連接到谷歌錢包服務(wù)的預(yù)付信用卡上任何余額。
安全公司Zvelo上周三公開披露了破解谷歌錢包個人識別碼的方法。Zvelo發(fā)現(xiàn),谷歌錢包的個人識別碼存沒有存儲在手機(jī)的安全部分,也就是幾乎不可破解的手機(jī)硬件設(shè)備中,而是存儲在了受到Android操作系統(tǒng)保護(hù)的一個數(shù)據(jù)庫中。通過對這個數(shù)據(jù)庫實(shí)施蠻力攻擊,黑客就能夠破解谷歌錢包的個人識別碼。
按照此前的報(bào)道,通過一些簡單的程序,一些Android智能手機(jī)能讓任何人使用手機(jī)中的谷歌錢包,這是Google推出的移動支付服務(wù)。移動支付是用來替代信用卡的。不需要黑客,只要幾分鐘,就可以盜取帳號,支付費(fèi)用。
最近,博客The Smartphone Champ刊文,通過一段視頻介紹了谷歌錢包的漏洞。如果用戶將手放在Android設(shè)備上,然后進(jìn)入程序設(shè)置,清空谷歌錢包的數(shù)據(jù)。當(dāng)再度打開谷歌錢包,服務(wù)會要求用戶重新建立新的個人身份帳號。在輸入新的個人身份帳號后,就可以進(jìn)入谷歌預(yù)付卡 (Prepaid Card),使用里面的錢采購。
最根本的問題在于,谷歌預(yù)付卡是附屬于設(shè)備本身的,它不是一個特殊帳號。因此,如果你丟掉了Android手機(jī),或者賣掉了手機(jī),用戶只需要重置谷歌錢包,輸入新的身份帳號,就可以使用你的錢了。
并不是所有的Android受到影響。谷歌只在一款手機(jī)、一類網(wǎng)絡(luò)上提供:三星Nexus S 4G和Sprint的網(wǎng)絡(luò)。谷歌錢包與終端設(shè)備PayPas一同協(xié)作,后者是廣為流傳的無線支付技術(shù),它支持智能手機(jī)付款。
谷歌已經(jīng)知道安全問題,它在一份聲明中建議用戶,如果丟了手機(jī),或者想賣掉手機(jī),可以打電話讓預(yù)付卡無效化。它還承諾會提供修復(fù)。
聲明說:”我們強(qiáng)烈建議丟失手機(jī)、或者想出售手機(jī)的人,撥打谷歌錢包免費(fèi)支持電話855-492-5538,讓預(yù)付卡無效化。我們正在開發(fā)程序,自動修改問題,很快會推出。我們還建議所有谷歌錢包用戶設(shè)定鎖屏功能,給手機(jī)多一層保護(hù)。”
Accuvant安全公司研究顧問米勒(Charlie Miller)說,漏洞導(dǎo)致谷歌錢包的目的無法達(dá)成。他解釋說,本來需要身份確認(rèn)帳號是為了提高安全,將它與傳統(tǒng)信用卡對比,不過由于有漏洞,使得額外的保護(hù)無效化。米勒還說:“我寧可丟了手機(jī),也不要丟了錢包。”
就在該漏洞發(fā)現(xiàn)一天前,Zvelo安全公司也提供一種方法,它可以獲得用戶的身份確認(rèn)帳號。不過,漏洞只在“Root”過的機(jī)器上有效,經(jīng)過Root的設(shè)備,用戶可以深度接入設(shè)備。Root過的設(shè)備保護(hù)性會降低。
谷歌新聞發(fā)言人泰勒(Nate Tyler)表示,如果用戶要用谷歌錢包,不建議Root設(shè)備。如果其它人Root設(shè)備,身份確認(rèn)號會無法接入。
谷歌在聲明中說:“Zvelo報(bào)告是在自己手機(jī)上Root后得出的,它讓安全機(jī)制無效化,正是這種安全機(jī)制保護(hù)了谷歌錢包。到目前為止,沒有發(fā)現(xiàn)有漏洞可以讓人拿到消費(fèi)者的手機(jī),然后獲得Root權(quán)限,上面保存有任何谷歌錢包信息,比如身份證確認(rèn)號。不支持用戶在Root過的設(shè)備上使用谷歌錢包,也建議用戶一直設(shè)定屏幕鎖定,給手機(jī)多一層保護(hù)。”
推薦閱讀
報(bào)道稱,蘋果對于和碩生產(chǎn)華碩Zenbook筆記本并不高興,因?yàn)閆enbook和蘋果的MacBookAir較為類似,特別是外部設(shè)計(jì)上。因此,蘋果要求和碩從中做出選擇。此外和碩從2011年開始為蘋果組裝iPhone,并急于獲得蘋果下一代iP>>>詳細(xì)閱讀
本文標(biāo)題:被曝設(shè)計(jì)漏洞 谷歌錢包暫停信用卡預(yù)付
地址:http://m.sdlzkt.com/a/xie/20111230/160789.html
網(wǎng)友點(diǎn)評
精彩導(dǎo)讀
科技快報(bào)
品牌展示