找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 246|回复: 0

[【IT电脑】] 谷歌钱包被指存在安全漏洞 可泄露用户PIN码

[复制链接]
发表于 2012-2-12 13:24:26 | 显示全部楼层 |阅读模式
腾讯科技讯(林靖东)北京时间2月10日消息,据国外媒体报道,据国外一家安全厂商研究发现,谷歌的近场通讯支付系统中存在一个安全漏洞,可能会导致已经root过权限的Android设备在遭到暴力破解型攻击时泄露用户谷歌钱包的PIN码。

谷歌号称其近场通讯(NFC)系统可以将手机转变成信用卡,但据最新消息称,只要遭到暴力破解型攻击,这个系统就可以被攻破。这一消息引发了业界对谷歌钱包安全性的质疑。

安全厂商Zvelo已经发现,网络罪犯可以通过穷举的码搜索的方法获得谷歌钱包的PIN码,然后利用启用了谷歌钱包功能的Android手机购物。

Zvelo将这个问题报告给谷歌之后,谷歌已经证实了这一漏洞的存在,并且同意迅速采取措施来解决它。

谷歌钱包是美国市场上的第一个面向公众开放的近场通讯付费服务,但是只能在Sprint网络上的三星Galaxy Nexus S 4G手机上使用。

用户可以利用安装了近场通讯支付系统的手机在实体店付费,他们只需将手机对准PayPass读卡装置即可完成支付。近场通讯并不仅限于智能手机,谷歌钱包与万事达公司达成了协议,后者已经在某些信用卡中安装了近场通讯芯片,PayPass读卡装置也是由万事达开发出来的。

业界一直对近场通讯技术的安全性持质疑态度,而且其他无线供应商如AT&T、Verizon和T-Mobile目前都没有允许谷歌钱包在它们的智能手机上使用。(但这可能是因为它们正在开发自己的近场通讯支付系统。)

然而,由于Verizon版三星Galaxy Nexus内置了近场通讯技术,因此它也可以安装谷歌钱包应用软件。

至于安全性问题,由于谷歌钱包的PIN信息是保存在电话内而不是近场通讯芯片上,因此这也不是一个特别可怕的安全问题。

Zvelo高级工程师乔舒亚鲁宾(Joshua Rubin)在一篇博客文章中表示:“PIN只可能是一个4位码,因此暴力破解法只需计算最多1万种SHA256码组合即可。”SHA指的是安全散列算法(Secure Hash Algorithm),它是一种密码散列函数。

鲁宾称,虽然谷歌钱包只允许用户在输入PIN码时出5次错,超过5次就会自动关闭手机,但是这种暴力破解法一次错都不用犯就可找到正确的PIN码。

据Zvelo称,解决这个问题的唯一办法是将PIN验证转移到安全设备(SE)或近场通讯芯片上。原因是,这是一项重要业务,它可能要求由银行而不是谷歌来负责PIN码的安全性。 银行们也许应根据与ATM机PIN码安全有关的政策规定接受大量的审查。

对于用户们来说,只要没有root过手机的权限,就不用担心这个问题。即便用户root过手机权限,只要采取一些其他的安全措施,包括设置锁屏密码、不要将手机丢失等,那就没什么问题。

http://tech.qq.com/a/20120210/000452.htm
谷歌是比较负责任的一家公司
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-11-20 13:34 , Processed in 0.186561 second(s), 18 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表