眼下,站上移動(dòng)支付風(fēng)口的智能POS也站在了輿論的風(fēng)口。
10月下旬,在2017安全極客大賽上,一支參賽團(tuán)隊(duì)僅用25分鐘就利用某廠商的一款智能POS終端的漏洞,偷偷在智能POS中植入一個(gè)后門(mén),替換關(guān)鍵應(yīng)用軟件,繼而獲得所有在POS機(jī)上的刷卡信息,包括支付密碼。
據(jù)悉,這款智能POS被廣泛用于各種移動(dòng)支付線下交易場(chǎng)景,2016年上市以來(lái),累計(jì)出貨量已超150萬(wàn)臺(tái)。隨后,智能POS廠商針對(duì)此事做出回應(yīng),稱盤(pán)古實(shí)驗(yàn)室利用未公開(kāi)的終端操作系統(tǒng)漏洞對(duì)POS設(shè)備進(jìn)行模擬攻擊演示,而且此次受攻擊的產(chǎn)品固件為早期版本,現(xiàn)有固件版本的防護(hù)機(jī)制可以有效防護(hù)針對(duì)該漏洞的攻擊。
回應(yīng)中“未公開(kāi)的終端操作系統(tǒng)漏洞”,實(shí)際是將問(wèn)題矛頭指向目前智能POS普遍使用的安卓系統(tǒng)。
據(jù)悉,在安卓操作系統(tǒng)下,所有源碼對(duì)外開(kāi)源。因此,其漏洞更容易被發(fā)現(xiàn),也更容易被攻擊。據(jù)統(tǒng)計(jì),2016年上半年安卓新增手機(jī)支付病毒包高達(dá)32.33萬(wàn)個(gè),相較于2015年增長(zhǎng)了986.14%。感染用戶數(shù)達(dá)1670.33萬(wàn),增長(zhǎng)45.82%。由于智能POS使用了同樣的Android系統(tǒng),這些病毒的大部分將適用于智能POS。
不過(guò),銀聯(lián)在事后回應(yīng)中指出:真實(shí)終端在收單機(jī)構(gòu)和商戶的嚴(yán)格管理下,不會(huì)輕易被攻擊破解,風(fēng)險(xiǎn)可控。且該攻擊僅能夠獲取銀行卡磁條信息,不能復(fù)制芯片卡信息。根據(jù)人民銀行要求,2015年起已全面換發(fā)芯片卡,目前復(fù)合卡的磁條交易已全部關(guān)閉,使用芯片卡進(jìn)行揮卡、插卡操作不會(huì)發(fā)生此類問(wèn)題。
對(duì)此,一位不愿具名的業(yè)內(nèi)安全專家則對(duì)記者表示,智能POS支持磁條卡、芯片卡、二維碼等多種支付方式。不過(guò),無(wú)論是與磁條卡還是芯片卡相比,當(dāng)下移動(dòng)支付的主流方式——二維碼支付才是一種更為安全的選擇:“二維碼支付的安全性是通過(guò)“二維碼+動(dòng)態(tài)口令”方案來(lái)保證的,這一方案為二維碼支付打造了一道安全可靠的屏障”。
據(jù)悉,二維碼是用計(jì)算機(jī)軟件編碼技術(shù)形成的平面幾何圖形,能夠在橫向和縱向兩個(gè)方位同時(shí)表達(dá)信息,可以存儲(chǔ)數(shù)字、漢字和圖片。本質(zhì)上,二維碼是一種承載信息的載體,可以承載商戶信息、交易金額、支付憑證信息等。這就為二維碼應(yīng)用在支付上提供了基礎(chǔ)。不過(guò),要實(shí)現(xiàn)安全的二維碼支付還需要結(jié)合“動(dòng)態(tài)口令”這一技術(shù)。動(dòng)態(tài)口令是根據(jù)專門(mén)的算法生成一個(gè)不可預(yù)測(cè)的隨機(jī)數(shù)字組合,每個(gè)密碼只能使用一次,被廣泛運(yùn)用在網(wǎng)銀、網(wǎng)游、電信運(yùn)營(yíng)商、電子商務(wù)等應(yīng)用領(lǐng)域。
當(dāng)二維碼與動(dòng)態(tài)口令技術(shù)相結(jié)合時(shí),二維碼支付的安全性就產(chǎn)生了質(zhì)變。如果仔細(xì)觀察用于收付款的二維碼便會(huì)發(fā)現(xiàn),這些二維碼在短時(shí)間內(nèi)會(huì)自動(dòng)失效,如果無(wú)法完成操作的話必須重新生成二維碼。正是因?yàn)槎S碼支付這種“動(dòng)態(tài)性”,二維碼信息被截取利用的風(fēng)險(xiǎn)就大大降低了。
當(dāng)下,二維碼支付不乏擁躉者。過(guò)去數(shù)年里,以微信支付為代表的第三方支付機(jī)構(gòu)大力推動(dòng)二維碼支付普及,“掃一掃”逐漸成為一種大眾支付方式。在二維碼支付安全方面,微信支付也早有動(dòng)作。今年4月,騰訊玄武實(shí)驗(yàn)室就曾對(duì)國(guó)內(nèi)二維碼技術(shù)公司的自助式掃碼支付設(shè)備“意銳小白盒”做出安全認(rèn)證。
除了微信支付外,2016年12月,銀聯(lián)也推出《中國(guó)銀聯(lián)二維碼支付安全規(guī)范》,銀聯(lián)二維碼遵循現(xiàn)有銀行卡支付的四方模式,采用支付標(biāo)記化(Token)技術(shù)以確保支付安全。
“在移動(dòng)支付發(fā)展的大潮下,二維碼支付的安全性會(huì)不斷得到驗(yàn)證及強(qiáng)化。二維碼支付技術(shù)為移動(dòng)支付時(shí)代樹(shù)立了一道安全屏障”,上述業(yè)內(nèi)安全專家表示:“智能POS作為移動(dòng)支付時(shí)代的產(chǎn)物,也應(yīng)該將掃碼支付作為最主要的支付方式。”
微信掃一掃
