【IT商业新闻网综合】 (记者 付渑) 2月13日消息,此前谷歌钱包被曝安全漏洞。任何人通过BUG操作都能使用其他人手机中谷歌钱包里的钱。而今早最新消息显示,谷歌已经暂停连接到其移动钱包服务的信用卡的预付费功能。
据凤凰网科技报道,在网上流传谷歌钱包服务的设计漏洞能够让非授权手机用户通过重新配置谷歌钱包的设置利用信用卡上的现有余额之后,谷歌周六采取了上述措施。
谷歌钱包和支付业务副总裁奥萨马·贝迪尔(Osama Bedier)在公司个博客中称,在我们很快发布一个永久性的补丁之前,我们采取这个步骤作为一项预防措施。
这个安全漏洞是一个网名为“智能手机冠军”的博客作者在上周四披露的。他解释说,打开Android手机的设置部分,清空谷歌钱包的所有设置,一个非授权用户就能访问以前连接到谷歌钱包服务的预付信用卡上任何余额。
安全公司Zvelo上周三公开披露了破解谷歌钱包个人识别码的方法。Zvelo发现,谷歌钱包的个人识别码存没有存储在手机的安全部分,也就是几乎不可破解的手机硬件设备中,而是存储在了受到Android操作系统保护的一个数据库中。通过对这个数据库实施蛮力攻击,黑客就能够破解谷歌钱包的个人识别码。
按照此前的报道,通过一些简单的程序,一些Android智能手机能让任何人使用手机中的谷歌钱包,这是Google推出的移动支付服务。移动支付是用来替代信用卡的。不需要黑客,只要几分钟,就可以盗取帐号,支付费用。
最近,博客The Smartphone Champ刊文,通过一段视频介绍了谷歌钱包的漏洞。如果用户将手放在Android设备上,然后进入程序设置,清空谷歌钱包的数据。当再度打开谷歌钱包,服务会要求用户重新建立新的个人身份帐号。在输入新的个人身份帐号后,就可以进入谷歌预付卡 (Prepaid Card),使用里面的钱采购。
最根本的问题在于,谷歌预付卡是附属于设备本身的,它不是一个特殊帐号。因此,如果你丢掉了Android手机,或者卖掉了手机,用户只需要重置谷歌钱包,输入新的身份帐号,就可以使用你的钱了。
并不是所有的Android受到影响。谷歌只在一款手机、一类网络上提供:三星Nexus S 4G和Sprint的网络。谷歌钱包与终端设备PayPas一同协作,后者是广为流传的无线支付技术,它支持智能手机付款。
谷歌已经知道安全问题,它在一份声明中建议用户,如果丢了手机,或者想卖掉手机,可以打电话让预付卡无效化。它还承诺会提供修复。
声明说:”我们强烈建议丢失手机、或者想出售手机的人,拨打谷歌钱包免费支持电话855-492-5538,让预付卡无效化。我们正在开发程序,自动修改问题,很快会推出。我们还建议所有谷歌钱包用户设定锁屏功能,给手机多一层保护。”
Accuvant安全公司研究顾问米勒(Charlie Miller)说,漏洞导致谷歌钱包的目的无法达成。他解释说,本来需要身份确认帐号是为了提高安全,将它与传统信用卡对比,不过由于有漏洞,使得额外的保护无效化。米勒还说:“我宁可丢了手机,也不要丢了钱包。”
就在该漏洞发现一天前,Zvelo安全公司也提供一种方法,它可以获得用户的身份确认帐号。不过,漏洞只在“Root”过的机器上有效,经过Root的设备,用户可以深度接入设备。Root过的设备保护性会降低。
谷歌新闻发言人泰勒(Nate Tyler)表示,如果用户要用谷歌钱包,不建议Root设备。如果其它人Root设备,身份确认号会无法接入。
谷歌在声明中说:“Zvelo报告是在自己手机上Root后得出的,它让安全机制无效化,正是这种安全机制保护了谷歌钱包。到目前为止,没有发现有漏洞可以让人拿到消费者的手机,然后获得Root权限,上面保存有任何谷歌钱包信息,比如身份证确认号。不支持用户在Root过的设备上使用谷歌钱包,也建议用户一直设定屏幕锁定,给手机多一层保护。”
推荐阅读
报道称,苹果对于和硕生产华硕Zenbook笔记本并不高兴,因为Zenbook和苹果的MacBookAir较为类似,特别是外部设计上。因此,苹果要求和硕从中做出选择。此外和硕从2011年开始为苹果组装iPhone,并急于获得苹果下一代iP>>>详细阅读
本文标题:被曝设计漏洞 谷歌钱包暂停信用卡预付
地址:http://www.lgo100.com/a/xie/20111230/160789.html
网友点评
精彩导读
科技快报
品牌展示