[5.jpg]

‍ ‍ 蘋(píng)果支付的安全評(píng)估

‍ ‍ 按道理來(lái)說(shuō)，NFC支付應(yīng)該更安全。不同于傳統(tǒng)的信用卡，NFC支付針對(duì)每次購(gòu)買都會(huì)產(chǎn)生一串新的數(shù)字，而不是發(fā)送用戶的信用卡信息。安全元件使黑客難以利用盜取的數(shù)字串用于任何其他的目的。在傳統(tǒng)模型中，商家必須要接收信用卡信息，即使是已加密過(guò)。商家必須承擔(dān)保存和處理信用卡號(hào)的責(zé)任。然而，NFC系統(tǒng)讓使用現(xiàn)有的黑客技術(shù)難以截獲信用卡信息。因?yàn)榻灰走^(guò)程不需要刷卡，分離器沒(méi)有機(jī)會(huì)來(lái)獲取磁性信用卡數(shù)據(jù)。此外，這也緩解了來(lái)自內(nèi)存抓取（memory-scraping）惡意軟件的威脅，例如BlackPOS 或 Dexter。

可能在未來(lái)的某個(gè)時(shí)刻，一個(gè)小型天線放置在NFC讀卡器旁邊，也許能夠捕獲NFC讀卡器和手機(jī)之間的通信。但是，因?yàn)楹诳椭荒懿东@結(jié)合了交易碼的設(shè)備賬戶號(hào)碼，把竊聽(tīng)的通信再次用于惡意目的幾乎不可能。這個(gè)過(guò)程也可以阻止黑客從商家尋找信用卡，因?yàn)樗麄儍H使用基于NFC支付系統(tǒng)來(lái)處理設(shè)備賬戶號(hào)碼和安全交易信息，而不是信用卡號(hào)。即使黑客能夠訪問(wèn)零售商的網(wǎng)絡(luò)，交易信息具有僅使用一次的特性，這讓黑客的計(jì)劃落空了。目前，尚不清楚零售商是否會(huì)存儲(chǔ)這類信息。當(dāng)然，我們預(yù)料到終有一天黑客們會(huì)像傳統(tǒng)基于磁條的卡片中的數(shù)據(jù)使用基于NFC支付系統(tǒng)中的數(shù)據(jù)。 ‍ ‍ ‍ ‍ ‍

【Freebuf科普】‍‍
‍‍1.【ATM分類器（ATMSkimmers）】直譯過(guò)來(lái)為 ATM 分離器，是一種依附在正常自動(dòng)提款機(jī)上的硬件設(shè)備，通常覆蓋在鍵盤(pán)、銀行卡插槽上，偽裝成正常的鍵盤(pán)和銀行卡插槽，并且與原設(shè)備嚴(yán)絲合縫，基本上普通用戶很難區(qū)別出來(lái)假的鍵盤(pán)、銀行卡插槽，用來(lái)竊取用戶輸入的密碼以及銀行卡數(shù)據(jù)的一種電子硬件設(shè)備。

‍ ‍ 未來(lái)方向

‍ ‍ 展望未來(lái)，移動(dòng)支付安全會(huì)依賴于三個(gè)組件：用戶身份認(rèn)證、移動(dòng)應(yīng)用程序的驗(yàn)證、第三方支付執(zhí)行機(jī)構(gòu)（third payment processor）。

第一個(gè)是身份認(rèn)證。蘋(píng)果支付使用生物特征用于身份認(rèn)證。然而，iPhone5S僅發(fā)布兩天后，黑客就成功了繞過(guò)了iPhone5S的指紋識(shí)別系統(tǒng)Touch ID，由此表明這仍是一項(xiàng)新型的技術(shù)。數(shù)據(jù)的匯聚是關(guān)鍵，也是這種新型金融形式所帶來(lái)的主要風(fēng)險(xiǎn)。當(dāng)我們著眼于個(gè)人組件、漏洞，以及他們帶來(lái)的風(fēng)險(xiǎn)，我們必須將這個(gè)過(guò)程視為一個(gè)整體。

第二點(diǎn)，我們必須考慮第三方APP和惡意程序是如何影響Apple Pay。當(dāng)蘋(píng)果還沒(méi)有向第三方APP開(kāi)發(fā)接口時(shí)，我們?cè)缫言趲缀趺總�(gè)移動(dòng)環(huán)境觀察到了惡意程序。在這種情況下，信用卡號(hào)在錄入到移動(dòng)終端時(shí)可能存在被盜取的風(fēng)險(xiǎn)。信用卡信息通過(guò)對(duì)信用卡拍照或手動(dòng)輸入等方式錄入到Passbook中。這是數(shù)據(jù)最脆弱的時(shí)候，因?yàn)閻阂獬绦蚩赡車L試截獲信用卡的照片或手動(dòng)輸入的信用卡信息。

最后，支付的基礎(chǔ)設(shè)施服務(wù)�？紤]到要通過(guò)這些服務(wù)處理大量的資金，因此這些服務(wù)通常擁有比較強(qiáng)的安全性。隨著POS系統(tǒng)逐漸轉(zhuǎn)向了NFC支付，商家網(wǎng)絡(luò)中基于磁條的卡憑證數(shù)據(jù)會(huì)越來(lái)越少。黑客們當(dāng)然不會(huì)輕易放棄自己的事業(yè)，而是把精力投放到下一個(gè)最薄弱點(diǎn)。 ‍ ‍

‍ ‍ 最后的思考

消費(fèi)欺詐是一個(gè)巨大的市場(chǎng)。我們必須想到那些實(shí)施網(wǎng)上欺詐的家伙們一定會(huì)挖空心思尋找這個(gè)新技術(shù)的空隙來(lái)維持他們的收入來(lái)源。隨著智能設(shè)備上的購(gòu)物和銀行服務(wù)不斷普及，你可以清楚預(yù)見(jiàn)到未來(lái)犯罪所關(guān)注的焦點(diǎn)，即能否在衍化的新環(huán)境中重現(xiàn)傳統(tǒng)的欺詐手段或挖掘出新的漏洞或機(jī)會(huì)。

此刻，盡管看起來(lái)蘋(píng)果支付和其他NFC移動(dòng)支付系統(tǒng)提供了增強(qiáng)的安全性，防止傳統(tǒng)零售業(yè)的信用卡泄露事件發(fā)生。由于移動(dòng)支付能夠?yàn)槿藗兲峁�極大的便利和效率，隨著消費(fèi)者不斷增加對(duì)虛擬的錢包、支付以及賬戶的依賴，信用卡很有可能將會(huì)不斷演進(jìn)。隨著消費(fèi)行為的轉(zhuǎn)變，我們預(yù)料到罪犯也會(huì)緊跟趨勢(shì)，不斷創(chuàng)新，否則就被市場(chǎng)淘汰了。