最近,Google Wallet成为头条新闻,首先是在带有Galaxy Nexus的Verizon网络上发布,然后是在Samsung Galaxy S II的AT&T网络上发布。Sprint和T-Mobile用户甚至可以在各自的Nexus S变体上侧面加载Google Wallet应用。

该应用程序本身依靠设备NFC芯片与非接触式支付站(如万事达卡的PayPass)进行通信。Google电子钱包存储您的信用卡信息,使您可以通过滑动手机进行店内购买。由于无需直接联系即可访问芯片上的信息,因此采取了多种安全措施来保护用户。使用该应用进行购物时,需要输入四位数的PIN码,从而增加了一层安全保护。XDA会员和zvelo员工miasma 发现了PIN系统中的缺陷,可以检索信用卡信息。 通过取证一家专门从事主动取证安全(旨在报告漏洞并保护用户的软件黑客)的公司,也帮助证明了这一漏洞,证明了该过程可以在其他设备上重复进行。

确定了多个问题区域,但最大的问题是PIN的加密。使用SHA256十六进制编码,PIN被保护在应用程序数据中。知道PIN码为4位数字后,viaForensics的计算表明,暴力破解最多只能计算10,000个SHA256哈希值。这几乎不需要花力气,而且偏见 和Google都已经能够在私人测试中破坏PIN的安全性。

超级用户请注意;该安全漏洞只能在具有root特权的电话上利用。Google已确认该漏洞,他们正在努力修复。为了进行这种攻击,黑客必须能够对您的手机进行物理访问,因此,在发布修补程序之前,用户可以通过使设备保持在可及范围内来确保自己的安全。与往常一样,为了确保手机的安全性,请始终使用最新的软件。不要忘记使用锁屏模式,PIN或密码(或在设备支持的情况下进行面部解锁)来保护手机安全。

要查看实际使用的漏洞,请在此处查看视频。宣布漏洞的原始线程可以在这里找到。Google正在与相关的银行和卡公司合作,以提高Google Wallet的安全性并修复此安全漏洞,因此希望我们很快会看到一些更新。在此之前,请始终将那些启用了NFC功能的电话放在手边!