Google Wallet存在安全漏洞 支付帳號易被盜用

2月13日消息，通過一些簡單的程序，一些Android智能手機能讓任何人使用手機中的Google Wallet，這是Google推出的移動支付服務。移動支付是用來替代信用卡的。不需要黑客，只要幾分鐘，就可以盜取帳號，支付費用。

最近，博客The Smartphone Champ刊文，通過一段視頻介紹了Google Wallet的漏洞。如果用戶將手放在Android設備上，然后進入程序設置，清空Google Wallet的數(shù)據(jù)。當再度打開Google Wallet，服務會要求用戶重新建立新的個人身份帳號。在輸入新的個人身份帳號后，就可以進入Google預付卡 (Prepaid Card)，使用里面的錢采購。

最根本的問題在于，Google預付卡是附屬于設備本身的，它不是一個特殊帳號。因此，如果你丟掉了Android手機，或者賣掉了手機，用戶只需要重置Google Wallet，輸入新的身份帳號，就可以使用你的錢了。

并不是所有的Android受到影響。Google只在一款手機、一類網(wǎng)絡上提供：三星Nexus S 4G和Sprint的網(wǎng)絡。Google Wallet與終端設備PayPas一同協(xié)作，后者是廣為流傳的無線支付技術，它支持智能手機付款。

Google已經(jīng)知道安全問題，它在一份聲明中建議用戶，如果丟了手機，或者想賣掉手機，可以打電話讓預付卡無效化。它還承諾會提供修復。

聲明說：”我們強烈建議丟失手機、或者想出售手機的人，撥打Google Wallet免費支持電話855-492-5538，讓預付卡無效化。我們正在開發(fā)程序，自動修改問題，很快會推出。我們還建議所有Wallet用戶設定鎖屏功能，給手機多一層保護。”

Accuvant安全公司研究顧問米勒（Charlie Miller）說，漏洞導致Google Wallet的目的無法達成。他解釋說，本來需要身份確認帳號是為了提高安全，將它與傳統(tǒng)信用卡對比，不過由于有漏洞，使得額外的保護無效化。米勒還說：“我寧可丟了手機，也不要丟了錢包。”

就在該漏洞發(fā)現(xiàn)一天前，Zvelo安全公司也提供一種方法，它可以獲得用戶的身份確認帳號。不過，漏洞只在“Root”過的機器上有效，經(jīng)過Root的設備，用戶可以深度接入設備。Root過的設備保護性會降低。

Google新聞發(fā)言人泰勒（Nate Tyler）表示，如果用戶要用Wallet，不建議Root設備。如果其它人Root設備，身份確認號會無法接入。

Google在聲明中說：“Zvelo報告是在自己手機上Root后得出的，它讓安全機制無效化，正是這種安全機制保護了Google Wallet。到目前為止，沒有發(fā)現(xiàn)有漏洞可以讓人拿到消費者的手機，然后獲得Root權限，上面保存有任何Wallet信息，比如身份證確認號。不支持用戶在Root過的設備上使用Wallet，也建議用戶一直設定屏幕鎖定，給手機多一層保護。”