2月10日晚間消息,美國媒體報(bào)道稱,谷歌錢包(Google Wallet)服務(wù)的一個(gè)漏洞能夠使攻擊者獲得用戶的個(gè)人識(shí)別碼(PIN)并竊取帳戶中的資金,攻擊者甚至沒有必要掌握專門的黑客技術(shù)。
本周早些時(shí)候,信息安全公司Zvelo發(fā)現(xiàn)了一個(gè)谷歌錢包近場通信(NFC)支付系統(tǒng)的漏洞,導(dǎo)致攻擊者可以獲得用戶手機(jī)的控制權(quán),并竊取用戶帳戶中的資金。這一漏洞只有在用戶的Android設(shè)備獲得Root權(quán)限,同時(shí)沒有設(shè)置鎖屏密碼的情況下才能被利用。
不過,科技博客TheSmartphoneChamp發(fā)現(xiàn)了另一個(gè)漏洞,能夠?qū)]有獲得Root權(quán)限的Android設(shè)備起作用??萍疾┛虶izmodo指出,最嚴(yán)重的問題在于,這一方法十分簡單,非技術(shù)專家也可以進(jìn)行攻擊。
攻擊者只要清空應(yīng)用設(shè)置中的數(shù)據(jù),就可以重新設(shè)置PIN碼。只要輸入新的PIN碼,并綁定一張谷歌預(yù)付費(fèi)卡,那么手機(jī)中此前預(yù)存的資金將可以繼續(xù)使用。隨后,無論什么人只要持有該手機(jī),并在刷卡設(shè)備前刷一下,輸入他們新設(shè)定的PIN碼,那么就可以消費(fèi)。
對(duì)于這一問題,谷歌發(fā)布聲明稱:“我們強(qiáng)烈建議丟失手機(jī),或希望出售手機(jī)的人撥打谷歌錢包的免費(fèi)技術(shù)支持電話855-492-5538,關(guān)閉預(yù)付費(fèi)卡功能。我們正在開發(fā)一個(gè)自動(dòng)解決方案,并將很快發(fā)布這一方案。我們還建議,所有谷歌錢包的用戶設(shè)定鎖屏密碼,以更好地保護(hù)手機(jī)。”
目前用戶可以做的是啟用鎖屏密碼,對(duì)存儲(chǔ)系統(tǒng)進(jìn)行加密,以及避免手機(jī)被別人拿開。不過在現(xiàn)實(shí)中,最后一點(diǎn)總是很難做到。
谷歌錢包目前的普及率還很低,只有Sprint運(yùn)營的三星Nexus 4G手機(jī)支持這一服務(wù)。這意味著不會(huì)有太多人受到影響。不過這一問題也表明,隨著近場通信技術(shù)的發(fā)展,一些新的信息安全問題也在出現(xiàn)。只有解決這些問題,該技術(shù)才能成為主流。
廣告聲明:文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時(shí)間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。