Apple Pay安全性优势与弱项综述

译文
移动开发
Apple Pay目前已经正式上线并投入运作。作为一名普通消费者,我对此感到兴奋莫名,但也与那些从事安全事务的工作人员一样对其安全性表示担忧。为了打消自己、也可能是各位读者朋友的疑惑,下面我们就一同从各个角度对Apple Pay加以考量——既包括消费者的角度,也包括安全专家的角度。

让信用卡号码远离交易过程确实有助于帮助消费者缓解并减轻各类数据泄露风险所带来的困扰,但这并不意味着那帮犯罪分子们会放弃窃取数字化资产的主意。

图为一台iPhone 6正通过Apple Pay功能进行NFC支付。

Apple Pay目前已经正式上线并投入运作。作为一名普通消费者,我对此感到兴奋莫名,但也与那些从事安全事务的工作人员一样对其安全性表示担忧。为了打消自己、也可能是各位读者朋友的疑惑,下面我们就一同从各个角度对Apple Pay加以考量——既包括消费者的角度,也包括安全专家的角度。

当我当初在考虑是否要购买一台iPhone 6时,Apple Pay其实是我最重视也最有说服力的功能。Apple Pay只能够在iPhone 6与6 Plus机型上起效(以令人印象深刻的无缝化方式)。虽然也能够在iPhone 5系列设备上实现,但这要求用户将上代手机同即将推出的Apple Watch搭配使用。此外,大家还可以利用它在一部分iPad机型上实现应用程序内购。不过就目前而言,全面感受Apple Pay使用体验的惟一途径就是购买并使用一款最新世代iPhone机型。下面来看看它的运作方式。大家需要在设备上的Passbook应用程序中注册自己的受支持信用卡。当我们打算在支持Apple Pay功能的零售店中购买某种商品时,各位只需要将自己的移动设备指向店铺中的近场通信(简称NFC)支付终端,这时我们的支付信息就会由iPhone通过无线射频连接传输至支付终端处。接下来,大家只需要在自己的手机上利用TouchID传感器进行指纹扫描、确认身份即可完成购买。如果一切顺利的话,我们的手机会核查指纹是否匹配并提示交易已经完成核准。虽然说起来复杂,实际使用感受只需要一步而且相当流畅。请注意,大家可能仍然需要根据不同商户的具体要求以及购买货品的实际金额而采取额外的支付步骤——例如在收据上签字确认。

从消费者的角度来看,这一切都是如此简洁而单纯,惟一相对麻烦些的部分就是必须确认商家能够支持这项支付技术。就目前而言,支付Apple Pay的商家在整体比例上还比较稀少,而且一部分零售店最终放弃支持Apple Pay计划的决定也引起了不少媒体的高度关注。但如果幸运的话,这种情况会随着时间的推移而逐步改善,届时将有更多商家以及发卡机构签署相关支持协议,我们也将迎来更为广泛的适用环境。

那么,Apple Pay所掀起的这股NFC支付浪潮到底安不安全?我们不妨先从积极的一面说起。关键在于,商家已经无法获取到我们的实际信用卡账户号码了; 他们能够实际查看到的只有消费者信用卡的“设备账户号码”(简称DAN),这(很可能)是一种一次性账户号码。在交易支付领域,DAN的作用相当于令牌、每一台设备都能通过计算获得自己独特的DAN。在交易过程中,DAN会与一次性交易ID相结合,从而保证攻击者们很难通过重复使用或者将其转移到其它设备上的方式伪造我们的DAN。

除此之外,如果我们曾经利用Apple Pay进行过交易的相关零售商出现了安全信息泄露,大家的发卡银行也应该能够在无需更改账户号码的前提下为我们提供一份新的DAN信息。这种全新处理方式相较于目前美国国内广泛采用的信用卡机制明显更为完善,不过我个人更希望这些DAN信息能够是一次性的并拥有随机与动态生成等特性,也就是像iPhone内置加密硬件那样采用高强度随机密码源。也许这一切都将在Apple Pay的下一个版本中成为现实。

但尽管我使尽浑身解数双Apple Pay当中挑出了一些能够进一步加以改进的安全性因素,但必须承认这套方案已经比目前的主流措施好得多。即使是被大肆宣传的Europay Mastercard Visa(简称EMV)系统,也仍然无法彻底避免将消费者的信用卡号码提供给商家。大多数EMV卡仍然设有磁条,其中包含着我们的账户信息,因此支付终端仍然有机会从这些EMV的智能芯片当中读取到大家的账户号码。此外,根据我们从去年的Target信息泄露事件中了解到,这些支付终端本身同样有可能受到篡改、并因此成为那些意图窃取财产的恶棍们获取账户数据的绝佳跳板。

因此,尽管从消费者的角度看我已经在使用Apple Pay方案,但从安全专家的立场出发、我必须承认其中尚有很多可能导致潜在风险的因素。如果普通消费者以及商家打算将支付平台大规模迁移到Apple Pay或者其它同样利用DAN机制保障交易安全的系统中去,也许在未来很长一段时间中我们仍然需要全力与Target以及Home Depot曾经遭遇的这类大数据泄露状况周旋及斗争、并最终通往更为安全的资产保障正轨。不过这是否意味着那些伺机窃取财产的犯罪分子会知难而退,甚至就此罢手?答案当然是否定的。

如果支付终端最终不再需要接触真正的账户数据,那么它们也就无法再被作为可行的攻击目标。在这种情况下,我们的对手会直接将自己的注意力放在交易链中的下一个薄弱环节之上——很可能在于移动设备自身。考虑到这一点,我查阅了最近iOS设备所遭遇的Masque攻击,这一事件也引发了我的兴趣。事实上,此次Masque攻击在Apple Pay刚刚亮相后即曝出似乎只是单纯的巧合,但这已经足以提醒我们、不要笨到将这类与财产相关的恶意木马引入到自己的设备当中。

事实上,目前货币交易已经在iOS平台上被广泛接受,因此我们可以很自然地想见、iOS未来将比其它移动平台面临数量更为庞大的潜在威胁。

但这是否意味着我们应该彻底远离像Apple Pay这样的服务方案?这是个仁者见仁、智者见智的问题,相信每个人都会给出自己的答案,但我个人对这类技术仍然表示欢迎、并且希望终有一天它能让我用不着带着信用卡出门——至少摆脱了鼓鼓囊囊的钱包会让我感到心情愉悦。

原文链接:http://www.computerworld.com/article/2849680/security0/apple-pay-s-security-pros-and-cons.html

核子可乐译

责任编辑:chenqingxiang 来源: 51CTO
相关推荐

2016-02-19 10:33:31

2022-09-28 11:10:22

区块链数据安全

2009-11-30 09:41:38

2009-10-21 09:35:10

Windows 7安全性能

2009-03-13 10:18:00

2021-09-30 16:33:16

Apple Pay漏洞攻击者

2009-07-03 12:05:14

2019-07-31 07:53:23

2014-11-07 09:58:59

Apple Pay苹果支付

2022-02-16 10:08:24

CISOWheeler安全

2019-10-28 13:44:10

安全边缘计算数据

2016-02-26 15:19:38

中国网

2011-03-29 16:37:59

备份安全性可用性

2011-05-31 18:41:45

复印机技巧

2012-12-26 10:53:26

2009-10-23 10:50:04

CLR安全性

2012-11-30 10:00:49

2020-11-03 15:38:13

物联网安全技术

2017-12-29 15:16:28

2009-03-02 13:56:29

点赞
收藏

51CTO技术栈公众号