谷歌錢包是谷歌去年推出的一項NFC移動支付服務

　　新浪科技訊北京時間2月13日早間消息，在谷歌(微博)錢包的漏洞被曝光後，谷歌上週六已經暫停了該服務與預付費卡的關聯功能。

　　在這一聲明發佈前，有關谷歌錢包的漏洞可以導致用戶資金被竊的消息，已經在互聯網上傳得沸沸颺颺。利用這一漏洞，未授權用戶也可以竊取用戶賬號資金。

　　谷歌錢包和支付業務副總裁奧薩馬拜德勒(Osama Bedler)説：“我們很快就將發佈正式解決方案，在此之前，將繼續採取這一預防措施。”

　　這一安全漏洞是上週四被一個自稱“The Smartphone Champ”的博客作者揭露的。他表示，打開Android手機的設置界面，清空所有有關谷歌錢包的設置，未經授權的用戶就可以訪問此前與該服務關聯的預付費卡賬號。

　　此前一天，安全公司Zvelo剛剛發佈了一種破解谷歌錢包PIN碼的方法。該公司發現，谷歌錢包的PIN碼並未存儲在硬體“安全單元”中，而是存放于一個被Android系統保護的數據庫中。通過對該數據庫的強力攻擊，黑客就可以獲取PIN碼。

　　但這種攻擊僅適用於獲得了Root權限的賬號。手機廠商都不鼓勵用戶獲取Root權限，因為這樣不僅會影響設備保修，而且可能會産生安全漏洞。

　　如果用戶設置了鎖屏密碼，便可不受這兩項漏洞的影響。該功能會在手機被激活時要求用戶輸入PIN碼，而如果未授權用戶不知道PIN碼，便無法發動攻擊。但很多用戶因為怕麻煩並未設置這一功能。

　　值得注意的是，未經授權的用戶都必須親手接觸到手機才能利用上述漏洞，而無法通過惡意軟體遠程操作。

　　另外，這些漏洞都源於谷歌錢包，而非該服務所使用的NFC(近場通訊)技術。例如，如果谷歌將谷歌錢包的PIN碼存放在硬體的安全單元中，幾乎就不會被破解。而Zvelo研究員約書亞魯賓(Joshua Rubin)也表示：“即使出現這兩個漏洞，谷歌錢包仍比目前使用的信用卡更安全。”(書聿)