Hệ thống thanh toán di động dựa trên tính năng NFC mới của Google hướng mục đích đến việc biến chiếc điện thoại của bạn thành một thẻ tín dụng đang được người dùng quan tâm rất nhiều về vấn đề bảo mật của dịch vụ.

Ảnh

Hãng bảo mật Zvelo đã phát hiện ra rằng, hệ thống nhận dạng mã PIN trên Google Wallet, vốn xuất hiện để yêu cầu người sử dụng xác nhận việnc mua hàng trên điện thoại, có thể bị bẻ khóa, cho phép các bọn tội phạm truy cập vào mã PIN và sử dụng Google Wallet để thanh toán hàng hóa.

Zvelo đã tiết lộ vấn đề này với Google, gã khổng lồ trong lĩnh vực tìm kiếm cũng đã xác nhận sự tồn tại của lỗ hổng và đồng ý sẽ tiến hành thực hiện việc bịt lỗ hổng này một cách nhanh chóng nhất.

Google Wallet là dịch vụ thanh toán đầu tiên dựa trên tính năng NFC ở Mỹ, và hiện mới chỉ có một điện thoại duy nhất chạy trên mạng Sprint cho phép làm việc với Google Wallet chính là Samsung Galaxy Nexus S 4G.

Hệ thống thanh toán NFC cho phép người dùng trả tiền cho các sản phẩm mua tại các cửa hàng bán lẻ bằng cách sử dụng thiết bị hỗ trợ NFC đặt trên một đầu đọc PayPass hoặc một hộp điện tử nhỏ. Google Wallet được hợp tác chặt chẽ với MasterCard và chip NFC cũng đã sử dụng trên một số thẻ tín dụng của MasterCard trong nhiều năm.

Trước đây đã có một số câu hỏi về vấn đề an ninh của NFC cũng như các nhà cung cấp dịch vụ không dây khác, bao gồm cả AT&T, Verizon và T-Mobile. Hiện tại thì những nhà cung cấp dịch vụ mạng không dây này vẫn chưa cho phép ứng dụng Google Wallet hoạt động trên các smartphone, nhiều khả năng để phát triển hệ thống thanh toán của riêng họ. Riêng Samsung Galaxy Nexus tích hợp công nghệ NFC bên trong nên Verizon có thể cài đặt ứng dụng Google Wallet trên điện thoại của mình.

Về vấn đề an ninh, thông tin mã PIN của Google Wallet được lưu trữ trên điện thoại riêng thay vì chip NFC, do đó vấn đề an ninh rất được quan tâm. Theo kĩ sư Joshua Rubin của Zvelo cho biết, mã PIN bao gồm 4 chữ số, được dựa trên công nghệ mã hóa SHA256 (SHA - Secure Hash Algorithm), khá hạn chế và không được xem như là một công nghệ mã hóa tốt trên một smartphone.

Rubin nói rằng, trong khi Google Wallet chỉ cho phép 5 lần gõ mã PIN không hợp lệ trước khi điện thoại bị tắt thì các thao tác tấn công có thể tiết lộ mã PIN mà không cần phải trải qua các bước dò tìm mã khóa.

Clip thử nghiệm mở khóa mã PIN của Google Wallet một cách nhanh chóng

Theo Zvelo, cách duy nhất để sửa vấn đề này là di chuyển sang sử dụng tiêu chuẩn công nghệ mã PIN Secure Device (SE), hoặc chip NFC. Lí do này được xem là một vấn đề lớn có thể khiến các ngân hàng chịu trách nhiệm an ninh cho PIN thay vì Google. Ngân hàng có thể phải thực hiện theo chính sách riêng của họ cho việc bảo đảm an ninh mã PIN cho ATM, trong đó theo Zvelo thì đó là một thỏa thuận tốt nhất cho việc giám sát an ninh.

Theo PCWorld



Bình luận

  • TTCN (0)