2月10日晚间消息,美国媒体报道称,谷歌钱包(Google Wallet)服务的一个漏洞能够使攻击者获得用户的个人识别码(PIN)并窃取帐户中的资金,攻击者甚至没有必要掌握专门的黑客技术。
本周早些时候,信息安全公司Zvelo发现了一个谷歌钱包近场通信(NFC)支付系统的漏洞,导致攻击者可以获得用户手机的控制权,并窃取用户帐户中的资金。这一漏洞只有在用户的Android设备获得Root权限,同时没有设置锁屏密码的情况下才能被利用。
不过,科技博客TheSmartphoneChamp发现了另一个漏洞,能够对没有获得Root权限的Android设备起作用。科技博客Gizmodo指出,最严重的问题在于,这一方法十分简单,非技术专家也可以进行攻击。
攻击者只要清空应用设置中的数据,就可以重新设置PIN码。只要输入新的PIN码,并绑定一张谷歌预付费卡,那么手机中此前预存的资金将可以继续使用。随后,无论什么人只要持有该手机,并在刷卡设备前刷一下,输入他们新设定的PIN码,那么就可以消费。
对于这一问题,谷歌发布声明称:“我们强烈建议丢失手机,或希望出售手机的人拨打谷歌钱包的免费技术支持电话855-492-5538,关闭预付费卡功能。我们正在开发一个自动解决方案,并将很快发布这一方案。我们还建议,所有谷歌钱包的用户设定锁屏密码,以更好地保护手机。”
目前用户可以做的是启用锁屏密码,对存储系统进行加密,以及避免手机被别人拿开。不过在现实中,最后一点总是很难做到。
谷歌钱包目前的普及率还很低,只有Sprint运营的三星Nexus 4G手机支持这一服务。这意味着不会有太多人受到影响。不过这一问题也表明,随着近场通信技术的发展,一些新的信息安全问题也在出现。只有解决这些问题,该技术才能成为主流。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。