谷歌钱包被指存在安全漏洞 可泄露用户PIN码

supdom

腾讯科技讯（林靖东）北京时间2月10日消息，据国外媒体报道，据国外一家安全厂商研究发现，谷歌的近场通讯支付系统中存在一个安全漏洞，可能会导致已经root过权限的Android设备在遭到暴力破解型攻击时泄露用户谷歌钱包的PIN码。

谷歌号称其近场通讯（NFC）系统可以将手机转变成信用卡，但据最新消息称，只要遭到暴力破解型攻击，这个系统就可以被攻破。这一消息引发了业界对谷歌钱包安全性的质疑。

安全厂商Zvelo已经发现，网络罪犯可以通过穷举的码搜索的方法获得谷歌钱包的PIN码，然后利用启用了谷歌钱包功能的Android手机购物。

Zvelo将这个问题报告给谷歌之后，谷歌已经证实了这一漏洞的存在，并且同意迅速采取措施来解决它。

谷歌钱包是美国市场上的第一个面向公众开放的近场通讯付费服务，但是只能在Sprint网络上的三星Galaxy Nexus S 4G手机上使用。

用户可以利用安装了近场通讯支付系统的手机在实体店付费，他们只需将手机对准PayPass读卡装置即可完成支付。近场通讯并不仅限于智能手机，谷歌钱包与万事达公司达成了协议，后者已经在某些信用卡中安装了近场通讯芯片，PayPass读卡装置也是由万事达开发出来的。

业界一直对近场通讯技术的安全性持质疑态度，而且其他无线供应商如AT&T、Verizon和T-Mobile目前都没有允许谷歌钱包在它们的智能手机上使用。（但这可能是因为它们正在开发自己的近场通讯支付系统。）

然而，由于Verizon版三星Galaxy Nexus内置了近场通讯技术，因此它也可以安装谷歌钱包应用软件。

至于安全性问题，由于谷歌钱包的PIN信息是保存在电话内而不是近场通讯芯片上，因此这也不是一个特别可怕的安全问题。

Zvelo高级工程师乔舒亚鲁宾（Joshua Rubin）在一篇博客文章中表示：“PIN只可能是一个4位码，因此暴力破解法只需计算最多1万种SHA256码组合即可。”SHA指的是安全散列算法（Secure Hash Algorithm），它是一种密码散列函数。

鲁宾称，虽然谷歌钱包只允许用户在输入PIN码时出5次错，超过5次就会自动关闭手机，但是这种暴力破解法一次错都不用犯就可找到正确的PIN码。

据Zvelo称，解决这个问题的唯一办法是将PIN验证转移到安全设备（SE）或近场通讯芯片上。原因是，这是一项重要业务，它可能要求由银行而不是谷歌来负责PIN码的安全性。 银行们也许应根据与ATM机PIN码安全有关的政策规定接受大量的审查。

对于用户们来说，只要没有root过手机的权限，就不用担心这个问题。即便用户root过手机权限，只要采取一些其他的安全措施，包括设置锁屏密码、不要将手机丢失等，那就没什么问题。

http://tech.qq.com/a/20120210/000452.htm
谷歌是比较负责任的一家公司