viaForensics認為，近場通訊（NFC）技術最大的問題不在其本身，而是使用NFC的軟體，駭客可能從Google Wallet等軟體取得這些資料，再使用釣魚郵件等社交攻擊手法詐欺使用者。

資安公司viaForensics發佈一份研究顯示，Google Wallet電子錢包以明碼方式將資料儲存於本機端的SQLite資料庫，有洩露使用者交易資料的風險。

該公司使用中間人攻擊、讀取手機儲存的資料及檢查系統日誌等方式，嘗試找尋Google Wallet的漏洞，結果發現該軟體以未加密的明碼儲存信用卡使用人姓名、可用餘額、最近交易時間與地點，卡號末四碼、有效期限，及電子郵件，很容易被解碼，而且刪除Google Wallet或清除設定後這些記錄都還可以被讀出。

另外還有一個漏洞來自Google Analytic，該技術會以非SSL加密的方式傳輸Google Wallet的活動記錄與系統日誌等資料。

viaForensics認為，近場通訊（NFC）技術最大的問題不在其本身，而是使用NFC的軟體，駭客可能從Google Wallet等軟體取得這些資料，再使用釣魚郵件等社交攻擊手法詐欺使用者。

Google則發表聲明表示，該份研究證實Android及Google Wallet仍在不同層次具有安全性，就算該份研究使用已破解的手機讀取內部資料，仍無法取得交易時所需的卡號與CW驗證碼。Google承諾將會修正Google Wallet，避免在使用者設備遭破解而被盜取相關資料。

Google Wallet從今年九月開始在美國上線，目前已經整合萬事達、Visa、Discover與美國運通（American Express）等信用卡業者，Google的目標是讓所有的付款金融卡都可添增至Google Wallet。

不過截至目前為止，美國地區僅有Sprint一家電信業者支持Google的作法。上週Verizon認為Google Wallet不符合某些資安條件而禁止下載、安裝。自由出版聯盟（Free Press）寫信向美國聯邦通訊委員會（FCC）主席Julius Genachowski投訴，認為Verizon此舉違背網路中立精神，阻礙創新應用、違反公平競爭，而且不利於消費者。Verizon、AT&T、T-Mobile等電信業者預計在明年推出行動付款系統ISIS。（編譯/沈經）

資料來源: iThome 2011/12/24