.谷歌钱包被指存在安全漏洞 可泄露用户PIN码
.谷歌钱包被指存在安全漏洞 可泄露用户PIN码理融宝 腾讯科技讯(林靖东)北京时间2月10日消息,据国外媒体报道,据国外一家安全厂商研究发现,谷歌的近场通讯支付系统中存在一个安全漏洞,可能会导致已经root过权限的Android设备在遭到暴力破解型攻击时泄露用户谷歌钱包的PIN码。 谷歌号称其近场通讯(NFC)系统可以将手机转变成信用卡,但据最新消息称,只要遭到暴力破解型攻击,这个系统就可以被攻破。这一消息引发了业界对谷歌钱包安全性的质疑。 安全厂商Zvelo已经发现,网络罪犯可以通过穷举的码搜索的方法获得谷歌钱包的PIN码,然后利用启用了谷歌钱包功能的Android手机购物。 Zvelo将这个问题报告给谷歌之后,谷歌已经证实了这一漏洞的存在,并且同意迅速采取措施来解决它。 谷歌钱包是美国市场上的第一个面向公众开放的近场通讯付费服务,但是只能在Sprint网络上的三星Galaxy Nexus S 4G手机上使用。 用户可以利用安装了近场通讯支付系统的手机在实体店付费,他们只需将手机对准PayPass读卡装置即可完成支付。近场通讯并不仅限于智能手机,谷歌钱包与万事达公司达成了协议,后者已经在某些信用卡中安装了近场通讯芯片,PayPass读卡装置也是由万事达开发出来的。
业界一直对近场通讯技术的安全性持质疑态度,而且其他无线供应商如AT&T、Verizon和T-Mobile目前都没有允许谷歌钱包在它们的智能手机上使用。(但这可能是因为它们正在开发自己的近场通讯支付系统。) 然而,由于Verizon版三星Galaxy Nexus内置了近场通讯技术,因此它也可以安装谷歌钱包应用软件。 至于安全性问题,由于谷歌钱包的PIN信息是保存在电话内而不是近场通讯芯片上,因此这也不是一个特别可怕的安全问题。 Zvelo高级工程师乔舒亚鲁宾(Joshua Rubin)在一篇博客文章中表示:“PIN只可能是一个4位码,因此暴力破解法只需计算最多1万种SHA256码组合即可。”SHA指的是安全散列算法(Secure Hash ),它是一种密码散列函数。 鲁宾称商务信息网mobile移动站,虽然谷歌钱包只允许用户在输入PIN码时出5次错,超过5次就会自动关闭手机谷歌钱包密码,但是这种暴力破解法一次错都不用犯就可找到正确的PIN码。 据Zvelo称,解决这个问题的唯一办法是将PIN验证转移到安全设备(SE)或近场通讯芯片上。原因是,这是一项重要业务,它可能要求由银行而不是谷歌来负责PIN码的安全性。 银行们也许应根据与ATM机PIN码安全有关的政策规定接受大量的审查。 对于用户们来说,只要没有root过手机的权限.谷歌钱包被指存在安全漏洞 可泄露用户PIN码,就不用担心这个问题。即便用户root过手机权限,只要采取一些其他的安全措施谷歌钱包密码,包括设置锁屏密码、不要将手机丢失等,那就没什理融宝 理融宝 么问题。 理融宝
【本文来源于互联网转载,如侵犯您的权益或不适传播,请邮件通知我们删除】