Google は、セキュリティ上の欠陥が明らかになった後、モバイル ウォレットにリンクされたクレジットカードのプリペイド機能を停止しました。
土曜日の動きは、携帯電話の権限のないユーザーがウォレットの設定を改変することでカードの既存残高にアクセスできる可能性があるウォレットの設計上の欠陥がインターネット上で暴露されたことを受けて行われた。
「恒久的な修正をすぐにリリースするまでの予防措置として、この措置を講じました」と、Googleウォレットおよび決済担当副社長のオサマ・ベドラー氏は同社のブログに記した。
このセキュリティ上の欠陥は先週木曜日、「The Smartphone Champ」とだけ名乗るブロガーによって明らかにされた。同ブロガーは、Androidスマートフォンの設定セクションを開き、Google Walletのすべての設定を空白にすることで、権限のないユーザーが以前ウォレットにリンクされていたプリペイドカードの残高にアクセスできると説明した。
この情報は、セキュリティ企業ZveloがGoogle WalletのPINを解読する方法を公開したわずか翌日に公開されました。Zveloが発見したのは、ウォレットのPINが「セキュアエレメント」(スマートフォンに内蔵されたほぼ侵入不可能なハードウェアデバイス)ではなく、Androidオペレーティングシステムによって保護されたデータベースに保存されていたというものでした。このデータベースにブルートフォース攻撃を仕掛けることで、ハッカーはウォレットのPINを漏洩させる可能性があります。
しかし、この攻撃には注意すべき点があります。それは、「ルート化」されたスマートフォン、つまり所有者がシステムへのアクセス権限を高めるために改造したスマートフォンでのみ有効だということです。スマートフォンメーカーはルート化を推奨していません。デバイスの保証が無効になるだけでなく、モバイルにセキュリティ上の脆弱性が生じる可能性があるためです。
先週Google Walletで発見された2つの脆弱性は、所有者が携帯電話の画面ロック機能を有効にすることで回避できます。この機能では、携帯電話を起動するたびにPINの入力が求められます。権限のない人がPINを知らなければ、携帯電話にアクセスして不正行為を行うことはできません。しかし、多くのユーザーは、1日に何度もPINを入力する手間を省き、この機能を利用していません。
また、これらの脆弱性を悪用するには、権限のない第三者が携帯電話に物理的にアクセスする必要があることにも留意が必要です。どちらの脆弱性も、マルウェアを介してリモートで実行することはできません。
さらに、脆弱性はウォレットの設計に存在し、その背後にあるNFC決済システムには存在しません。例えば、ウォレットのPINが決済システムのセキュアエレメントに格納されていれば、ハッキングはほぼ不可能でしょう。
「この脆弱性が実際に存在するにもかかわらず、Google Walletは現在使用しているクレジットカードよりもはるかに安全です」とZveloの研究者であるジョシュア・ルービン氏はPCWorldに語った。
フリーランスのテクノロジーライター John P. Mello Jr. と Today@PCWorld を Twitter でフォローしてください。
