Google 的“ 电子钱包梦” 遭遇危机

Google Wallet 曝出安全漏洞

2 月 9 日，国外一安全问题调查公司 zvelo 曝出运行于 root 设备上的 Google Wallet 的 PIN 码可轻易破解。由于 PIN 码是以加密形式存储于设备而不是 NFC 芯片上，如果别人拿了你的手机，而你的手机已经被 root，别人就可以获取到存储 PIN 码的保密文件。如此一来，运行一个暴力破解程序来破解 PIN 码就不是一件多难的事情了。为了证明这个漏洞的真实存在，zvelo 编写了一个 Google Wallet Cracker 的破解程序并进行了演示。

不过由于该漏洞只影响到被 root 的设备，Google 对此问题作出了如下回应：

zevlo 公司的研究是在一台没有保护 Google Wallet 的安全机制的设备上。目前还没发现有任何漏洞会导致普通消费者的设备被他人拿走之后，他人可以通过 root 的方法获取 PIN 码的问题（root 设备之后所有 Google Wallet 的数据会被清空）。

一波未平，一波又起

谁知，事发第二天，The Smartphone Champ 又曝出 Google Wallet 的第二个安全漏洞，并且这次比上次要严重得多，因为不管你的设备 root 与否，这个问题都存在，换言之，该漏洞存在于所有装有 Google Wallet 的 Android 设备上。任何人，拿到一款装有 Google Wallet 的设备，只需到设置菜单里清空其数据。之后重新进入 Google Wallet，设置新的 PIN 码，由于 Google 预付卡（Prepaid Card）是与设备绑定，因此进入程序后添加新的 Google 预付卡，与该设备绑定的与预付卡又会原封不动地添加至 Google Wallet 里面。下面是视频演示：

第二个漏洞曝出后，Google 在 Google Commerce 上第二次做出回应：

近日 Google Wallet 的安全问题引发用户担忧……但 Google Wallet 相对传统的信用卡以及钱包有得天独厚的优势。

首先……我们不建议用户破解他们的手机因为 Google Wallet 在被 root 的设备上是不受保护的。这就是为什么设备被 root 后所有的 Google Wallet 信息都会被清空。

其次，我们也为受害用户提供具体的保护措施……比如临时冻结预付卡账户。

……如同其他的信用卡一样，我们在用户遇到问题的时候提供支持。 移动支付在未来几年就会普及，我们正在学习如何让 Google Wallet 变得更好。同时，你可以给予电子钱包所提供的保护充分的信心。

除此之外，Google 某发言人称 Google 正在着手修复该问题，并推荐所有用户设置屏幕密码锁保护自己的利益不受侵害。

雪上加霜

此次曝出的安全问题无疑是给本来就发展不利的 Google Wallet 雪上加霜。 在《Windows Phone 走在正确的路上》一文中，在 “移动支付” 部分我提到 Google Wallet 的问题：

而 Android 方面，Google 推出的 Google Wallet 此前只能在 Sprint 网络下的 Nexus S 才能使用，而 Android 最新的旗舰机型 Galaxy Nexus 在一开始更是连 Google Wallet 的影子都没看到，原因之一是美国运营商 Verizon 不希望这个会威胁到自己移动支付业务的应用出现在 Galaxy Nexus 上。（注：2010 年，AT&T、Verizon 和 T-Mobile 三大运营商计划联合推出类似 Google Wallet 的电子钱包服务 Isis，不过至今还没正式启动。）直到今天，据国外媒体报道 Google Wallet 终于能在 AT&T 网络下的无锁 Galaxy Nexus 使用。

而就算运营商能张开双手拥抱 Google Wallet，普及也是一个大问题，Gartner 的分析师 Van Baker 接受 The Wired 采访时说：

市场上很少有零售商准备支持 NFC 支付，因为这会增加基础设施的成本…… 退一万步讲，就算零售商愿意了，消费者也几乎找不到理由放弃目前使用状况尚佳的传统信用卡。

支持设备少，运营商不欢迎，零售商支持 NFC 的基础设施不完善，以及消费者的接受率低，都是 Google Wallet 所面临的问题。

而最近曝出的安全性问题也在一定程度上让人看到了 Google Wallet 本身的不完善，看来，Google 要实现自己的 “电子钱包梦”，还有很长的路要走。

题图来自 The Wired