徐州北大青鸟快讯：谷歌爆支付安全漏洞，各方表态不一 谷歌号称其近场通讯（NFC）系统可以将手机转变成信用卡，但据最新消息称，只要遭到暴力破解型攻击，这个系统就可以被攻破。这一消息引发了业界对谷歌钱包安全性的质疑。

        更为惊人的是安全厂商研究发现，谷歌的近场通讯支付系统中存在一个安全漏洞，可能会导致已经root过权限的Android设备在遭到暴力破解型攻击时泄露用户谷歌钱包的PIN码。安全厂商Zvelo已经发现，网络罪犯可以通过穷举的码搜索的方法获得谷歌钱包的PIN码，然后利用启用了谷歌钱包功能的Android手机购物。Zvelo将这个问题报告给谷歌之后，谷歌已经证实了这一漏洞的存在，并且同意迅速采取措施来解决它。谷歌钱包是美国市场上的第一个面向公众开放的近场通讯付费服务，但是只能在Sprint网络上的三星Galaxy Nexus S 4G手机上使用。

          用户可以利用安装了近场通讯支付系统的手机在实体店付费，他们只需将手机对准PayPass读卡装置即可完成支付。近场通讯并不仅限于智能手机，谷歌钱包与万事达公司达成了协议，后者已经在某些信用卡中安装了近场通讯芯片，PayPass读卡装置也是由万事达开发出来的。业界一直对近场通讯技术的安全性持质疑态度，而且其他无线供应商如AT&T、Verizon和T-Mobile目前都没有允许谷歌钱包在它们的智能手机上使用。（但这可能是因为它们正在开发自己的近场通讯支付系统。）然而，由于Verizon版三星Galaxy Nexus内置了近场通讯技术，因此它也可以安装谷歌钱包应用软件。至于安全性问题，由于谷歌钱包的PIN信息是保存在电话内而不是近场通讯芯片上，因此这也不是一个特别可怕的安全问题。

         Zvelo高级工程师乔舒亚鲁宾（Joshua Rubin）在一篇博客文章中表示：“PIN只可能是一个4位码，因此暴力破解法只需计算最多1万种SHA256码组合即可。”SHA指的是安全散列算法（Secure Hash Algorithm），它是一种密码散列函数。鲁宾称，虽然谷歌钱包只允许用户在输入PIN码时出5次错，超过5次就会自动关闭手机，但是这种暴力破解法一次错都不用犯就可找到正确的PIN码。据Zvelo称，解决这个问题的唯一办法是将PIN验证转移到安全设备（SE）或近场通讯芯片上。原因是，这是一项重要业务，它可能要求由银行而不是谷歌来负责PIN码的安全性。 银行们也许应根据与ATM机PIN码安全有关的政策规定接受大量的审查。

         徐州北大青鸟认为对于广大用户来说，只要没有root过手机的权限，就不用担心这个问题。即便用户root过手机权限，只要采取一些其他的安全措施，包括设置锁屏密码、不要将手机丢失等，那就没什么问题。