Google Walletに新たな、そして懸念すべき脆弱性が明らかになりました。昨日確認された低リスクのセキュリティ問題とは異なり、本日のセキュリティ欠陥は非常に簡単に発見できるとされています。
セキュリティ企業Zveloは昨日、GoogleのNFC決済システムであるGoogle Walletに脆弱性を発見した。この脆弱性により、Google Walletを実行している、すでにルート化されたスマートフォンを持つ人なら誰でもGoogle WalletのPINにアクセスできる。
この脆弱性により、ハッカーはGoogle Wallet対応スマートフォンでNFCチップに紐付けられたクレジットカード情報を使って購入を行うことが可能です。しかし、Googleは、この脆弱性はスマートフォンが(所有者によって)既にルート化されている場合にのみ有効であり、クレジットカード情報は使用可能ではあるものの、依然として安全であるため、リスクは低いと指摘しています。
簡単な悪用
今日のより深刻な不具合は、スマートフォンブログ「The Smartphone Champ」で説明されており、Google Wallet のセキュリティ欠陥について説明している。この欠陥は「非常に簡単に実行できる」もので、追加のソフトウェアは必要なく(Zvelo の欠陥とは異なり)、ルート化されたデバイスも必要ありません。
基本的に、この問題はクレジットカード情報が個人のGoogleアカウントではなくデバイスに紐付けられていることに起因しています。そのため、Google Wallet対応のスマートフォンをお持ちの方は、アプリの設定メニューからGoogle Walletアプリのデータを消去することで、Google WalletのPINを変更できます。PINを変更すると、Google Walletアプリはユーザー/ハッカーに新しいPINの入力を求めます。
カードデータはデバイスに紐付けられているため、ユーザー/ハッカーがデータをリセットした後にGoogleプリペイドカードをGoogleウォレットアプリに追加すると、古いカードデータがアプリに追加されます。そのため、ユーザー/ハッカーはカードの資金にアクセスできるようになります。ただし、クレジットカードデータは引き続き安全に保護されます(ただし、他人があなたの資金にアクセスできる場合、安全かどうかは本当に重要でしょうか?)。
脆弱性のデモンストレーションは次のとおりです。
この脆弱性は、実行が簡単(Zvelo の脆弱性を解読するには、多少のハッキングの知識が必要)であり、ルート化されているかどうかに関係なく、どのデバイスでも実行できるため、Zvelo の脆弱性よりもはるかに大きな問題です。
Googleのアドバイス
Googleはこのセキュリティ上の欠陥を認識しており、PCWorldに対し、現在自動修正プログラムの開発に取り組んでおり、近日中に公開予定であると述べています。また、GoogleはすべてのGoogle Walletユーザーに対し、スマートフォンのセキュリティ強化策としてロック画面を設定することを推奨しています。
Google では、Google Wallet 対応の携帯電話を紛失した、または売却したいユーザーは、Google Wallet サポート (フリーダイヤル) の番号 855-492-5538 に電話してプリペイド カードを無効にすることを強く推奨しています。
Twitter、Facebook、Google+ で Sarah をフォローし、Twitter で Today @ PCWorld をフォローしてください。
