移动安全 即将到来的硬件和软件之争
安全专家表示,未来移动支付有几种选择,但每种都有自己的安全问题。
我们开始看到Apple Pay和Google Wallet的迹象。谷歌刚刚推出了Android Pay平台,并与AT&T、Verizon和T-Mobile达成协议以在Android手机预先安装该平台。另外,三星也在构建自己的支付系统―SamSung Pay,沃尔玛正在计划其面对零售商的CurrentC系统,Paypay即将从eBay独立出来,也已经开始收购支付技术供应商。
对于消费者来说,到底选择哪种移动支付,可能要取决于他们是使用iPhone还是Android手机,以及哪些应用程序更易于使用以及被大多数商家接受。
商家今年正在升级其系统,因为他们根据规定需要转移到芯片密码或“智能卡”,他们可能会考虑还不如咬咬牙直接转移到移动支付。幸运的是,他们不需要决定是支持苹果的平台还是谷歌的平台,自动添加对一个平台的支持意味着他们也可以接受另一个平台的支付。
那么,后端技术如何?它们如何确保安全性?根据安全专家表示,这里有几种选择,但每种都有自己的安全问题。
硬件与软件
Apple Pay和大多数其他移动支付平台之间的主要区别特征是,Apple Pay采用基于硬件的安全性来防止篡改,即手机内部的“安全元件”。
在iPhone中,还有指纹扫描仪来提供额外的安全性。
根据Malwarebytes公司恶意软件情报负责人Adam Kujawa表示,这个过程中没有未加密的个人信息被传输。
到目前为止,唯一报道的安全问题是在最初注册时,攻击者能够要求呼叫中心运营商添加偷来的信用卡到其iPhone。
此外,理论上来讲,盗贼能够骗过指纹扫描仪,并进行未经授权的购买。
但ApplePay这些最大的缺点并不是那么容易利用,该手机价格昂贵,并且,当iPhone没电时没办法进行付款。
该安全原件的主要替代品是HCE,或者说主机卡模拟。这是对基于硬件安全性的软件替代品,使用的是基于云计算[注]的令牌化程序。
Kujawa表示:“从安全的角度来看,HCE提供了最好的保护,因为对你财务信息的加密和通信是在银行的掌控中,支付信息和设备本身之间没有连接,即使设备被偷走,信息也可以得到保护。”
但是,可能会有恶意应用程序来劫持HCE过程,并从用户那里窃取金钱。
Kujawa表示,理想的情况应该是设备中的安全原件结合HCE,再结合生物识别身份验证。
移动与网络
对于有关ApplePay以及谷歌和三星可能或不可能做的所有讨论中,真正的情况是,大多数移动支付与这些技术并没有任何关系。
事实上,现实中的移动支付只是通过移动设备中浏览器或专用应用程序进行的基于网络的付款。例如,亚马逊推出的针对智能手机和平板电脑的购物应用程序,Paypal也有移动应用程序让你可以汇款给朋友。
根据支付公司Adyen表示,在今年的第一季度中,这些类型的移动支付占所有在线支付的27%,这比去年同期增长了39%。
这些移动支付中有一小部分是用于本地购买,例如,你可以通过应用程序为你的星巴克咖啡或Uber乘车付款。这些都是移动支付,根据Forrester研究公司表示,这在美国总共占37.4亿美元。但Forrester预计,这会比其他类型的移动支付增长更迅速,到2019年达到342亿美元。
Bluebox Security公司首席安全分析师Andrew Blaich表示,从安全的角度来看(+本站狼蚁网络推广networkworldweixin),这种做法的最大缺点在于基于网络的支付系统。如果发生数据泄露事故,攻击者可能窃取有关用户的所有保存的财务信息。
他表示:“如果有人偷了你的用户名或密码,他们就可以冒充你,并以你的名义来进行支付。”
此外,这些移动应用程序本身可能受到攻击,这种攻击已经发生在星巴克和Uber的应用程序中。
他表示:“如果有人偷了你的用户名或密码,他们就可以冒充你,并以你的名义来进行支付。”
此外,这些移动应用程序本身可能受到攻击,这种攻击已经发生在星巴克和Uber的应用程序中。
攻击者可以下载这些应用程序、root他们的设备、在必要时关闭无线连接,然后花时间来拆开和分析这些应用程序。
移动安全公司Metaforic副总裁Andrew Mclennan表示:“一旦他们这样做,他们就可以利用他们分析的结果来发动大规模攻击,从简单的盗窃到更恶意地获取个人数据以用于未来的攻击。”
这不是非此即彼
根据NFC技术的工作原理,如果终端设备接受一个支付系统,例如ApplePay,那么它会自动接受其他支付方式,例如Google Wallet。并且,基于网络的支付(例如星巴克和Uber的支付方式)根本没有依赖于专门的支付终端。
这意味着,客户和零售商都不需要做出选择。
“我认为这一切都会共存,”Prescient Solutions公司首席信息官[注]Jerry Irvine表示,“这并不是说NFC或HCE是否比另一个更好,而是它们是否满足PCI和银行机构规定的安全支付要求。”
他称:“你可以看看星巴克,多年来,他们的应用程序并不是最简单的,也不是最好的,但是确实最流行的,如果人们想要使用某个东西,他们就会使用它。”