飞象网讯(编译 文慧)据路透社纽约报道,安全研究人员日前表示,他们发现了谷歌公司移动支付平台中存在一个安全漏洞,该支付平台目前已经被Sprint Nextel Corp销售的手机使用。
移动支付服务可以消费者通过在结账终端设备上刷手机、而不是信用卡的方式结账,这种方式最早始于日本,而后在其他一些国家普及,并于近期出现在美国。
VerizonWireless、AT&T公司和T-Mobile美国公司共同组建了移动支付平台ISIS,有望与谷歌钱包一较长短(但目前尚未宣布具体推出日期)。
发现谷歌钱包中漏洞的是科罗拉多州格林伍德村一家安全公司Zvelo的高级工程师约书亚·鲁宾(JoshuaRubin)。
鲁宾研发了一个能够复制Wallet Cracker的应用程序,能够破译谷歌钱包应用程序要求输入的四位数字密码。他在自己博客的一段视频中演示了具体的做法。
鲁宾表示自己已经向谷歌公司说明了自己的发现,谷歌公司“能确确认这一问题并同意尽快拿出解决方案。”
谷歌发言人杰伊·南克罗(JayNancarrow)在一封电子邮件声明中表示:“我们正在努力解决这一问题。”不过,他也对引发这一问题的研究提出了看法。
南克罗称:“Zvelo的研究是在他们自己的电话上进行的,他们通过“固定”其设备阻止了保护谷歌钱包的安全机制。”
他补充说,谷歌建议人们不要将谷歌钱包安装在“根”装置上,而是应该设置一个屏幕锁定,作为额外的安全保护层。
Sprint公司的代表没有立即对此事发表评论。
谷歌钱包的合作伙伴还包括花旗集团和付款网络万事达卡。
花旗女发言人艾米丽·考林斯(EmilyCollins)表示,花旗银行的持卡人信息并没有储存在谷歌钱包中,持卡人不会对未授权的交易负责。
安全软件专家McAfee的一位安全研究员吉米·沙(JimmyShah)周五表示,这个漏洞看似不易发掘。
但他认为,从理论上来讲,黑客有可能通过用户的电话进行盗窃。
吉米·沙指出,黑客需要时间去安装Cracker应用程序,并在能够运行该Cracker程序盗取PIN密码前,安装另一款恶意软件,以使手机的安全系统禁用。
在使用被盗的谷歌钱包付款时,黑客仍然需要用到手机。
他告诉路透社的记者说:“这类攻击在理论上说得通,但操作起来并不容易。”