上周陸續有資安人員揭露了Google電子錢包(Google Wallet)的安全漏洞,其中一名透過程式很輕易就取得了Google Wallet的四位數密碼,另一名則說完全不需要技術就能使用Google Wallet中的預付卡額度。Google除了警告使用者不要破解手機之外,也暫時停止Google Wallet的預付卡功能。
資安研究人員Joshua Rubin說明,Google Wallet所採用的近場通訊(NFC)有一名為安全元件(Secure Element,SE)的晶片,可於廣播時儲存與加密諸如信用卡號碼等重要資料,該晶片可避免內容被篡改,必要時還可銷毀資料,為NFC支付系統的核心安全層;使用者要存取Google Wallet的SE時,必須輸入四位數的PIN碼,這是另一道防護措施,只要輸錯五次,Google Wallet就會完全鎖住。
由於Google Wallet的PIN碼是儲存於應用程式中而非SE晶片中,因此,他設計了一個程式可以用來找出Google Wallet的PIN碼,而且連一次錯誤都不會出現,並得以存取Google Wallet所儲存的所有資訊。不過,該方法必須在破解過的手機裝置上才能運作。
緊接著另一名部落格也爆料Google Wallet有一個完全不需要程式,也不在乎手機有沒有被破解的漏洞,就能取得PIN碼。有心人士只要進入手機上的應用程式設定,然後重設Google Wallet程式,重新開機時就會要求輸入新的PIN碼,然後替預付卡加值及使用預付卡中所儲存的金額。
該名部落格表示,上述的Google Wallet問題主要是來自於Google Wallet的PIN碼是依附著手機而非使用者的Google帳號,預付卡的功能亦是如此。因此,若有人撿到了使用者的手機就等於撿到了使用者的Google Wallet與其儲值款項。
Google Wallet副總裁Osama Bedier則繼之發表聲明,警告使用者不意要為了取得系統權限(通常是在破解手機的情況下)而關閉重要的安全機制,因為這些破解的手機並不支援Google Wallet,這也是為什麼大多數遭到破解的手機會自動將Google Wallet的資料全數移除。另一方面,Google亦決定暫時停止預付卡功能,一直到修補完畢。
Bedier說,未來幾年行動付款將愈來愈普及,Google也會跟著Google Wallet的發展學習到更多的事情,現在的電子錢包至少可提供傳統金融卡與皮夾所未能達到的防禦功能。
目前市場上只有Nexus S 4G提供支援NFC的Google Wallet功能,且僅可透過Sprint網路在美國市場使用。(編譯/陳曉莉)
熱門新聞
2026-01-16
2026-01-16
2026-01-18
2026-01-16
2026-01-16
2026-01-16
