Google錢包的安全性研究結果摘要

因此，, 在總結, 這裡注意的項目，從我的高層次的分析。牢記這是隔靴搔癢，像這樣的應用程序測試水平值得，但因為這是我們自己的時間做, 這一切我可以管理迄今。無論如何, 這裡有雲:

一個相當數量的數據存儲在不同的SQLite數據庫，包括信用卡餘額, 限制, 到期日期, 信用卡持有人姓名, 交易的日期和地點，更.

卡上的名稱, 到期日, 去年 4 卡數字和電子郵件帳戶所有可收回

[固定在版本1.1 - R41v8] 當交易被刪除或Google錢包復位, 數據仍然可收回.

谷歌分析跟踪提供洞察谷歌錢包的活動，雖然我知道我做什麼的谷歌軌道。, 找到一個可以在電線上截獲的方式，四處散落，也許這有點令人沮喪 (非SSL GET請求) 或電話 (日誌, 數據庫, 等等。)

[固定在版本1.0 - R33v6] 應用程序創建了我的信用卡可收回的形象，給了比需要多一點信息 (姓名, 到期日和最後 4 數字).雖然這是不夠的使用卡, 很可能不足以發動社會工程攻擊.

雖然谷歌錢包沒有一份體面的工作，充分保護您的信用卡號碼 (它不是不安全的存儲和PIN需要訪問授權支付卡), 谷歌錢包設備上存儲未加密的數據量是顯著 (幾乎所有除第一 12 您的信用卡數字). 許多消費者也不會找到可以接受的，如果人們知道他們的信用卡餘額或限制. 進一步, 在直接侵害了消費者或提供者的社會工程攻擊的能力，使用這個數據是相當高的. 例如, 如果我知道你的名字, 當你用你的卡最近, 去年 4 數字和到期日, 我非常有信心，我可以利用這些信息我的優勢. 當您添加的數據，一般可在網上 (如某人的地址), 攻擊者是一個成功的社會工程師攻擊武裝.

這個測試是真的只有非常高的水平. 需要更為成熟和全面的安全性分析，以確定是否存在其他漏洞。, 隱私意識的消費者了解，分析幾乎所有您使用谷歌錢包基本上是您支付服務的價格. 對於高科技的角度來看, 這是非常令人興奮地看到在生產谷歌錢包. 不過, 它一直被viaForensics“的立場，即從應用程序使用NFC的最大的安全風險不是來自核心的NFC技術，而是使用技術的應用程序. 在這種情況下, 量由谷歌錢包的未加密的數據存儲，超過我們相信大多數消費者接受的.

通過 谷歌錢包法醫安全分析 - viaForensics « viaForensics.