Google Wallet存在安全漏洞 支付帳號易被盜用

　　2月13日消息，通過一些簡單的程序，一些Android智能手機能讓任何人使用手機中的Google Wallet，這是Google推出的移動支付服務(wù)。移動支付是用來替代信用卡的。不需要黑客，只要幾分鐘，就可以盜取帳號，支付費用。

　　最近，博客The Smartphone Champ刊文，通過一段視頻介紹了Google Wallet的漏洞。如果用戶將手放在Android設(shè)備上，然后進入程序設(shè)置，清空Google Wallet的數(shù)據(jù)。當(dāng)再度打開Google Wallet，服務(wù)會要求用戶重新建立新的個人身份帳號。在輸入新的個人身份帳號后，就可以進入Google預(yù)付卡 (Prepaid Card)，使用里面的錢采購。

　　最根本的問題在于，Google預(yù)付卡是附屬于設(shè)備本身的，它不是一個特殊帳號。因此，如果你丟掉了Android手機，或者賣掉了手機，用戶只需要重置Google Wallet，輸入新的身份帳號，就可以使用你的錢了。

　　并不是所有的Android受到影響。Google只在一款手機、一類網(wǎng)絡(luò)上提供：三星Nexus S 4G和Sprint的網(wǎng)絡(luò)。Google Wallet與終端設(shè)備PayPas一同協(xié)作，后者是廣為流傳的無線支付技術(shù)，它支持智能手機付款。

　　Google已經(jīng)知道安全問題，它在一份聲明中建議用戶，如果丟了手機，或者想賣掉手機，可以打電話讓預(yù)付卡無效化。它還承諾會提供修復(fù)。

　　聲明說：”我們強烈建議丟失手機、或者想出售手機的人，撥打Google Wallet免費支持電話855-492-5538，讓預(yù)付卡無效化。我們正在開發(fā)程序，自動修改問題，很快會推出。我們還建議所有Wallet用戶設(shè)定鎖屏功能，給手機多一層保護?！?/P>

　　Accuvant安全公司研究顧問米勒（Charlie Miller）說，漏洞導(dǎo)致Google Wallet的目的無法達成。他解釋說，本來需要身份確認(rèn)帳號是為了提高安全，將它與傳統(tǒng)信用卡對比，不過由于有漏洞，使得額外的保護無效化。米勒還說：“我寧可丟了手機，也不要丟了錢包?！?/P>

　　就在該漏洞發(fā)現(xiàn)一天前，Zvelo安全公司也提供一種方法，它可以獲得用戶的身份確認(rèn)帳號。不過，漏洞只在“Root”過的機器上有效，經(jīng)過Root的設(shè)備，用戶可以深度接入設(shè)備。Root過的設(shè)備保護性會降低。

　　Google新聞發(fā)言人泰勒（Nate Tyler）表示，如果用戶要用Wallet，不建議Root設(shè)備。如果其它人Root設(shè)備，身份確認(rèn)號會無法接入。

　　Google在聲明中說：“Zvelo報告是在自己手機上Root后得出的，它讓安全機制無效化，正是這種安全機制保護了Google Wallet。到目前為止，沒有發(fā)現(xiàn)有漏洞可以讓人拿到消費者的手機，然后獲得Root權(quán)限，上面保存有任何Wallet信息，比如身份證確認(rèn)號。不支持用戶在Root過的設(shè)備上使用Wallet，也建議用戶一直設(shè)定屏幕鎖定，給手機多一層保護?！?/P>