徐州北大青鸟
当前位置: 主页 > 新闻中心 > 行业动态 >

谷歌爆支付安全漏洞,各方表态不一

时间:2012-02-10 22:16来源:未知 作者:代码如诗 点击:
徐州北大青鸟快讯:谷歌爆支付安全漏洞,各方表态不一 谷歌号称其近场通讯(NFC)系统可以将手机转变成信用卡,但据最新消息称,只要遭到暴力破解型攻击,这个系统就可以被攻破

        徐州北大青鸟快讯:谷歌爆支付安全漏洞,各方表态不一 谷歌号称其近场通讯(NFC)系统可以将手机转变成信用卡,但据最新消息称,只要遭到暴力破解型攻击,这个系统就可以被攻破。这一消息引发了业界对谷歌钱包安全性的质疑。

        更为惊人的是安全厂商研究发现,谷歌的近场通讯支付系统中存在一个安全漏洞,可能会导致已经root过权限的Android设备在遭到暴力破解型攻击时泄露用户谷歌钱包的PIN码。安全厂商Zvelo已经发现,网络罪犯可以通过穷举的码搜索的方法获得谷歌钱包的PIN码,然后利用启用了谷歌钱包功能的Android手机购物。Zvelo将这个问题报告给谷歌之后,谷歌已经证实了这一漏洞的存在,并且同意迅速采取措施来解决它。谷歌钱包是美国市场上的第一个面向公众开放的近场通讯付费服务,但是只能在Sprint网络上的三星Galaxy Nexus S 4G手机上使用。

          用户可以利用安装了近场通讯支付系统的手机在实体店付费,他们只需将手机对准PayPass读卡装置即可完成支付。近场通讯并不仅限于智能手机,谷歌钱包与万事达公司达成了协议,后者已经在某些信用卡中安装了近场通讯芯片,PayPass读卡装置也是由万事达开发出来的。业界一直对近场通讯技术的安全性持质疑态度,而且其他无线供应商如AT&T、Verizon和T-Mobile目前都没有允许谷歌钱包在它们的智能手机上使用。(但这可能是因为它们正在开发自己的近场通讯支付系统。)然而,由于Verizon版三星Galaxy Nexus内置了近场通讯技术,因此它也可以安装谷歌钱包应用软件。至于安全性问题,由于谷歌钱包的PIN信息是保存在电话内而不是近场通讯芯片上,因此这也不是一个特别可怕的安全问题。

         Zvelo高级工程师乔舒亚鲁宾(Joshua Rubin)在一篇博客文章中表示:“PIN只可能是一个4位码,因此暴力破解法只需计算最多1万种SHA256码组合即可。”SHA指的是安全散列算法(Secure Hash Algorithm),它是一种密码散列函数。鲁宾称,虽然谷歌钱包只允许用户在输入PIN码时出5次错,超过5次就会自动关闭手机,但是这种暴力破解法一次错都不用犯就可找到正确的PIN码。据Zvelo称,解决这个问题的唯一办法是将PIN验证转移到安全设备(SE)或近场通讯芯片上。原因是,这是一项重要业务,它可能要求由银行而不是谷歌来负责PIN码的安全性。 银行们也许应根据与ATM机PIN码安全有关的政策规定接受大量的审查。

         徐州北大青鸟认为对于广大用户来说,只要没有root过手机的权限,就不用担心这个问题。即便用户root过手机权限,只要采取一些其他的安全措施,包括设置锁屏密码、不要将手机丢失等,那就没什么问题。

 

试听课
(责任编辑:代码如诗)
------分隔线----------------------------
栏目列表
推荐内容