Apple Pay安全嗎?
元宵節前的這個周末,除瞭與傢人團聚的渴望之外,不少人也在為新進入中國的Apple Pay“糾結”。在蘋果公司的造勢以及各路媒體的聚焦下,有關Apple岩盤浴設備價錢 Pay的一舉一動都被放在瞭放大鏡下,而其本身的功能優劣似已被席卷而來的宣傳所“神話”。不論是“果粉”的追捧、業內人士對其市場的看好,還是其本身給大眾帶來的新奇、快捷體驗,所有的效果都已經達到瞭蘋果方面高層口中“1000分”的評價。
然而回到Apple Pay本身,作為多數人並不能言明的移動支付硬件提供商而非我們熟悉的支付機構,它的存在與之前的“支付寶”、“微信支付”在技術上怎樣區別?這種技術的安全性又有幾何?有沒有不確定的風險?是不是我們真正追求的更理想的移動支付手段?
待澄清的“污點”
就在Apple Pay入駐中國不到3天的時間內,很多用戶就已經開始抱怨銀行卡綁定流程上的各種不方便。雖然一向以用戶體驗聞名,但蘋果公司對意想不到的“狂熱”還是準備不足。於女士就告訴記者,在最開始兩天她根本無法有效地進行銀行卡的綁定流程。
而一則女子信用卡綁定Apple Pay後1小時被盜刷7次的消息著實引起瞭不少用戶的警惕。最新的調查結果顯示,該新聞中的當事者王女士在信用卡綁定Apple Pay的過程中幾次失敗,考慮到目前這一支付手段還不普及,她選用的是一張外幣信用卡。到最後也未能綁定成功的王女士的信用卡卻在一天後接連被消費瞭7筆,盜刷金額總計1862美元、人民幣1054元,合計約為人民幣13193元。
更令王女士著急的是銀行方面並不能給出明確說法。至記者截稿,銀行方面依然無法透露盜刷的手段和人員,唯一可以確定的消息是王女士的信用卡是在蘋果商店上被使用的。有分析稱從目前放出的細節看,並沒有直接的證據表明王女士的信用卡盜刷與她綁定Apple Pay失敗相關。
盡管如此,這樣疑似“污點”的消息讓剛剛綁定成功、但尚未使用Apple Pay的韓先生十分不安。而就在2月23日下午1點30分左右,他就收到瞭被消費16美元的短信通知。他告訴《經濟》記者:“我用的是一張雙幣信用卡,被盜刷的貨幣又是美元,會不會與早上剛看到的王女士的情況類似?”確實,與王女士不同,韓先生是在綁定成功3天後遭遇瞭盜刷,金額和次數也偏少。但是類似16美元這樣額度的消費讓人很快就聯想到在蘋果商店的消費特征。韓先生也很懷疑自己是不是遭遇瞭同樣的入侵,而銀行也無法及時向韓先生提供明細和賬單。
韓先生很快就聯系銀行,將Apple Pay進行瞭解綁,從應用中刪除瞭之前綁定的信用卡。之所以這樣做,韓先生認為在無法確定問題的情況下,謹慎的退避更能減少不必要損失,他對Apple Pay的信心也受到瞭部分影響。
雖然還沒有直接證據說明其漏洞,那麼從技術的角度來看,Apple Pay安全性到底如何?
NFC+指岩盤浴推薦紋的雙保險?
從技術角度來看,Apple Pay使用的是一種NFC技術(近場通信——Near Field Communication)和指紋加密組合而成的支付工具。《關於Apple Pay的15個問題》作者、支付行業資深技術人員馮希順向記者介紹到:“Apple Pay結合瞭令牌化和NFC技術,使用者可以完成應用內和非接觸移動支付。”
而NFC技術的無接觸近場通信原理也是類似Apple Pay這樣的移動支付與中國普遍的支付寶、微信支付的二維碼的最大不同。北京豆莢科技有限公司聯合創始人張楚在接受《經濟》記者采訪時說:“移動支付分為線上和線下兩種支付方式。支付寶和微信,線上采用的支付方式也可以選擇刷指紋、密碼的方式。而它們線下采用的多為條碼的方式。與Apple Pay線下主要采用的NFC模式相比,與條碼相比較的最大不同就是對外的通訊方式不同。NFC是通過一個安全芯片用13.56MHz(兆赫茲)非接觸的方式進行通訊。”
北京交通大學計算機與信息技術學院信息安全系副教授張大偉向記者表示:“ Apple Pay相當於在蘋果手機內部設置瞭一個叫做SE (Secure Element——安全元件)的模塊,通俗地講就是我們平時使用的銀行卡的芯片的模塊。當蘋果手機進入到POS終端後,也即支付終端的范圍的時候,他就會通過內嵌的NFC控制器來激活這張卡片,同時也激活Apple Pay應用中對應的已經註冊的卡片。接下來,蘋果終端會要求使用者做一個指紋認證,在認證通過後,NFC芯片就可以和POS機之間進行交互。”
簡單來講,NFC就是把我們的銀行卡做到手機裡面瞭,跟傳統的用法相比,隻是通過瞭非接觸的方式。
那麼NFC這種傳輸方式可靠嗎?早已推出的這種近場通信技術,除瞭終端和體驗等因素,其潛在的風險也阻礙瞭它的進一步發展。張楚說:“原來單獨的NFC的安全性也曾受到過質疑。焦點在於其非接觸的通訊方式。舉個極端的例子,如果有一個不法分子拿著一部改裝過的POS機偷偷地靠近你的手機,是有可能把用戶的錢扣掉的。嚴格來說這樣的可能性是存在的。”
正是基於此種考慮,蘋果公司的Apple Pay選擇瞭前文提到的指紋認證這一保護措施。
張大偉說這正是Apple Pay一個有意思的環節,“即要求用戶必須在指紋認證通過後,才可以‘拿出這張銀行卡’。相當於給銀行卡加瞭一個指紋認證。”
張楚認為指紋這種個人的生物特征認證其他人難以輕易使用,他說道:“從目前來看,全球公認的NFC與TEE(Trusted Execution Environment——可信執行環境標準)下的指紋認證的組合系統是比較安全的,也是目前比較好的選擇。”
馮希順表示:“綜合以上觀點,加上其支付流程處理是在SE中進行,技術上講其安全程度基本等同於現有的基於芯片卡的支付。”
現實的風險
盡管技術層面上得到廣泛的認可,從現實的角度來看,Apple Pay有哪些潛在風險?在我們享受支付寶和微信支付的便捷的同時,許多糾紛也在發生。就在線下每天不斷被掃的條碼盡管可用,但已經被認為存在很多問題。Apple Pay是否要重蹈覆轍?
張大偉為記者解析瞭此前銀聯對條碼支付的分析報告:“首先是支付工具的可見性,因為在銀行卡內部做運算,傳統銀行卡的交易憑證你是看不見的。但是二維碼、條形碼這類支付,需要交易方向對方出示二維碼圖片,於是支付過程就可見瞭。在相對時間之內,誰掃都可以支付。其次是在訂單創建方面,憑借二維碼及部分商會信息創建線上訂單,而並非在線下創建訂單並交易。此訂單創建過程是完全由商傢控制。第三,支付機構和商業銀行之間擁有無密扣款通道,跳過輸入密碼等過程。由於訂單的創建可以修改,這些在一定程度上存在風險。”
而傳統的交易方式是,訂單生成後不可修改。張大偉說:“比如說平時完成POS端刷卡後,那麼這個訂單後面要加上經過密碼運算的交易認證碼生成後就不再修改,剩下的過程就是與收單行之間的事情瞭。”
一位銀行人士也向記者透露:“從現實的角度上講,Apple Pay的安全性,至少是等同於芯片卡,即平時的銀行卡支付的安全級別。因為在芯片卡支付上,人民銀行有非常嚴格的規范。包括如何對終端、發卡行以及卡片本身辨別真偽,防止交易欺詐,都把控得很嚴。可以說至少等同於銀行卡的支付認證。”
顯然按此邏輯分析下去,Apple Pay的優勢相對突出。但是將銀行卡和手機綁在一起的同時,會不會意味著手機需要更加地“誠實”?
終端安全的需要
韓先生這樣的用戶在疑惑,“機卡合一”真的就萬無一失瞭嗎?
“Apple Pay僅僅是一種支付手段,他的到來隻能保證其本身的支付安全。但是原來信用卡固有的風險是比較難防范的。比如說,信息已經泄露。”張楚告訴記者。
對此張大偉表示贊同:“支付風險不能說沒有。畢竟你將卡片綁定到手機上瞭,傳統來講,銀行卡的保護更好。現在來看,你的手機就是你的卡。Apple Pay同樣也支持線上支付,表明也會受到木馬威脅。”
此外,終端的不可控性是潛在的炸彈。一位不願意透露姓名的信息從業人員告訴記者,經歷過蘋果手機存在“後門”的情況下,在對待其終端的態度上相關部門會更加謹慎。
從目前放出的信息看,銀聯確實在引入Apple Pay上做瞭不少努力:無論是將數據中心設在中國境內,還是虛擬內存全部刪除,定期接受監管部門的檢查,都反映瞭把控程度的嚴格。
張楚表示:“監管非常嚴格。即便是蘋果手機,裡面的技術,包括指紋操作、安全芯片等,都是受到國內的測試和監管。銀聯內部是經過反復測試的。”
而在國內暗潮湧動的移動市場爭奪中,類似小米、華為等廠商也在不斷發力。對近期發佈的小米5手機,NFC的功能已經內置。加之手機廠商爭先申請第三方支付牌照,基於國內龐大的使用人數,更開放的安卓系統也將迎來新的挑戰。
張大偉表示由於安卓系統的更開放,公開威脅角度會更多。如何將TEE技術發揮好,提高終端的安全性,是很重要的。
馮希順表示:“在TEE的安全操作系統中,通俗點講,就是將數據這一部分的處理放在瞭另一個開放度低的系統中。而GPTEE(GlobalPlatform——國際準組織)的制定,得到瞭全球主要產業界的認可,比如像蘋果公司、高通研發科等,包括中國銀聯。當時TEE出現以後,業內就普遍看好。Apple Pay隻是基於蘋果手機IOS系統的支付應用,而國內還有大量的安卓手機用戶,也要做類似於Apple Pay的移動支付的解決方案。國內的TEE公司因此可以展現身手。”
很多時候開放和安全是一對矛盾。對於很多即將擁有NFC移動支付工具的安卓系統手機,有沒有解決方法?
張楚說:“除瞭原有的安卓系統以外,還會存在一個TEE的操作系統,用來處理指紋、支付這些對安全比較敏感的東西。安全與開放在一定程度是矛盾的。目前的解決方案,在其系統上再使用進行一個小操作系統。安全敏感度高的信息會被放在這個相對的封閉系統中處理,同時也會不影響它本身的開放性,這也是行業內通用的解決辦法。”
張大偉說:“現在來看岩盤浴機器終端安全是第一位的。國內也在慢慢發展這類技術,例如華為現在已經有指紋認證。但真正保證移動支付的安全,還需更多努力。”(據《經濟雜志》記者 趙鏑)
AUGI SPORTS|重機車靴|重機車靴推薦|重機專用車靴|重機防摔鞋|重機防摔鞋推薦|重機防摔鞋
AUGI SPORTS|augisports|racing boots|urban boots|motorcycle boots
留言列表
