Google Wallet存在安全漏洞 支付帐号易被盗用

　　2月13日消息，通过一些简单的程序，一些Android智能手机能让任何人使用手机中的Google Wallet，这是Google推出的移动支付服务。移动支付是用来替代信用卡的。不需要黑客，只要几分钟，就可以盗取帐号，支付费用。

　　最近，博客The Smartphone Champ刊文，通过一段视频介绍了Google Wallet的漏洞。如果用户将手放在Android设备上，然后进入程序设置，清空Google Wallet的数据。当再度打开Google Wallet，服务会要求用户重新建立新的个人身份帐号。在输入新的个人身份帐号后，就可以进入Google预付卡 (Prepaid Card)，使用里面的钱采购。

　　最根本的问题在于，Google预付卡是附属于设备本身的，它不是一个特殊帐号。因此，如果你丢掉了Android手机，或者卖掉了手机，用户只需要重置Google Wallet，输入新的身份帐号，就可以使用你的钱了。

　　并不是所有的Android受到影响。Google只在一款手机、一类网络上提供：三星Nexus S 4G和Sprint的网络。Google Wallet与终端设备PayPas一同协作，后者是广为流传的无线支付技术，它支持智能手机付款。

　　Google已经知道安全问题，它在一份声明中建议用户，如果丢了手机，或者想卖掉手机，可以打电话让预付卡无效化。它还承诺会提供修复。

　　声明说：”我们强烈建议丢失手机、或者想出售手机的人，拨打Google Wallet免费支持电话855-492-5538，让预付卡无效化。我们正在开发程序，自动修改问题，很快会推出。我们还建议所有Wallet用户设定锁屏功能，给手机多一层保护。”

　　Accuvant安全公司研究顾问米勒（Charlie Miller）说，漏洞导致Google Wallet的目的无法达成。他解释说，本来需要身份确认帐号是为了提高安全，将它与传统信用卡对比，不过由于有漏洞，使得额外的保护无效化。米勒还说：“我宁可丢了手机，也不要丢了钱包。”

　　就在该漏洞发现一天前，Zvelo安全公司也提供一种方法，它可以获得用户的身份确认帐号。不过，漏洞只在“Root”过的机器上有效，经过Root的设备，用户可以深度接入设备。Root过的设备保护性会降低。

　　Google新闻发言人泰勒（Nate Tyler）表示，如果用户要用Wallet，不建议Root设备。如果其它人Root设备，身份确认号会无法接入。

　　Google在声明中说：“Zvelo报告是在自己手机上Root后得出的，它让安全机制无效化，正是这种安全机制保护了Google Wallet。到目前为止，没有发现有漏洞可以让人拿到消费者的手机，然后获得Root权限，上面保存有任何Wallet信息，比如身份证确认号。不支持用户在Root过的设备上使用Wallet，也建议用户一直设定屏幕锁定，给手机多一层保护。”