深圳市少年宫

“红包大战”拉开帷幕 拷问移动支付“安全门”

“红包大战”拉开帷幕 拷问移动支付“安全门”

 

■见习记者 李勤

临近春节,各种“红包大战”又拉开帷幕。不管是微信支付,还是支付宝钱包,抑或是其他各类移动支付软件,都提供了便利的充值、支付手段——有的只需要一个手机验证码,有的在扫码枪下轻轻一扫,即可完成支付。

此外,指纹支付、“刷脸”支付等更酷炫的移动支付手段也层出不穷。

移动支付正逐渐成为大众习惯的支付方式之一。据中国银联2014年底发布的《2014年移动互联网支付安全调查报告》显示,被调查者实物类消费的移动支付占比较2013年提高16个百分点,共有22%的被调查者表示曾经使用NFC(近距离无线通讯技术)、自助刷卡器等新兴移动支付方式。

普华永道发布的《2015年中国金融及银行业展望》调研则预计,2015年线上支付会突破10万亿元,移动支付会突破4万亿元。新兴支付手段正在改变人们的生活。

在市场红火的背后,需要冷静思考的是,“移动钱包”够安全吗?

移动“钱包”安全吗

由中国银联开展的上述调查还发现,约10%的被调查者遭遇过网上诈骗,而以退款等借口骗取手机动态验证码的诈骗手段明显增多,遭遇过此类欺诈的占比较2013年增加了11个百分点。该调查结论强调:移动支付用户快速增长的同时,移动交易终端正成为犯罪分子的重点攻击目标。

360互联网安全中心曾做过一项关于移动支付安全的调查,发现许多木马伪装成热门购物App,获取用户账号密码,拦截用户短信,同时近年来大热的扫码支付因犯罪分子利用二维码暗藏病毒被央行紧急叫停。

那么,移动支付果然如此不安全吗?

多位专家向《中国科学报》记者表示,从移动支付整体情况来看,大环境并没有想象的那么可怕,不过安全威胁也确实不可小觑,不能掉以轻心。

专家指出,移动支付安全涉及到基础环境安全、数据安全、身份认证与访问控制、综合风险控制等多个层面。

在接受《中国科学报》记者采访时,数码视讯公司金融产品负责人张雨佳指出,目前第三方支付以无卡支付业务为主,已结合了较为完善的风险控制手段,但移动支付所需的基础软、硬件环境和数据安全保护方面还相对薄弱。

例如,安卓系统获得高级权限后,可能被第三方控制,木马和伪客户端可利用最高权限,实现对手机的输入监听、静默联网、获取私密信息等,甚至可以恶意修改交易数据,私自发起交易。

网络通信环境的潜在威胁也存在,目前的手机还无法全面验证网络接入点的安全性。黑客从假基站、恶意Wi-Fi网络端,都可能获取用户信息,甚至发起恶意攻击。

作为一位业内人士,张雨佳自己也曾因某航空公司用户数据泄露,收到航班改签的欺诈短信,差点“中招”。他指出,在纯软件的移动支付体系下,很难全面保护私密信息。所以,各大金融机构与第三方支付开展合作时,均对无卡支付额度进行了限制。“如果没有硬件的认证介质加以辅助,较难保证支付安全。”张雨佳说。

便捷与安全的博弈

目前,很多第三方支付为了抢占市场,会牺牲一部分安全性来实现便捷性。但专家表示,市场推广的前提条件,是基础设施和数据安全达到一定安全等级。

中国银联风险控制专家王宇告诉《中国科学报》记者,移动支付的安全性与便捷性一直处在博弈当中,需要找到平衡。

整体来看,移动支付不仅进行了载体的更换,而且从POS机等专业终端转向了以用户为中心的社会化终端(如手机)。换言之,移动支付的终端环境从封闭走向了开放,日常移动支付的载体还会连接到其他外部设备。

王宇说:“当设备本身的通讯需求过渡到娱乐和支付需求时,缺乏对支付安全的保障。”

近期,十分火热的二维码扫码支付以方便快捷的线下体验征服了众多用户,利用手势密码登录客户端后,就可进行200元以下的免密小额支付,在很多线下合作商户均可使用。

一些打车类软件也可获取通讯录和短信记录,它提供的服务是免填验证码,强调了用户体验,但也为安全带来挑战。

有些非法软件也会将自己包装成理财软件,核心目的是监控银行客户的消费短信,比如信用卡用户的消费信息。它们通过对消费数据的搜集,来还原客户的资金总值、各类账户和密码信息。

“监听程序同样可以监听其他信息,因为许多移动支付信息是通过短信渠道流通,而用户往往不清楚哪些程序应该给予权限,因此常在不知情的情况下处于被监听的状态。手机验证码安全性还不够强,从当前手机诈骗事件看,用户对手机支付安全性认知也不够高,需要更有保障的措施来达到安全需求。”王宇说。

不过,王宇认为,完全将移动支付安全防范附加给用户是不切实际的,完全牺牲用户体验来做安全也不可行。

“如何在便捷与安全之间寻求平衡点——这是交给移动支付产业链上各方探寻的问题。”王宇说。

“硬件+软件”支付方案被看好

1月13日,中国人民银行印发了《关于推动移动金融技术创新健康发展的指导意见》。

该意见指出,要指导商业银行和银行卡清算机构积极落实国家网络安全和信息技术安全有关政策,优先采用自主可控的产品及密码算法,加强移动金融账户介质标准符合性管理,增强移动金融安全可控能力,有效保障移动金融应用流程的安全性;指出要加快构建安全可信基础环境,发挥检测认证的质量保障作用,推动标准落地实施,切实保障客户资金和信息安全。

据张雨佳透露,就在今年1月,央行召开了解读该政策的闭门会议,除了强调推行自主可控的国密算法外,还建议通过硬件介质辅助支付安全。

据介绍,基于安全芯片的硬件介质密钥体系较难攻破。例如,现在网上银行交易使用的U盾,就是典型的硬件密钥和身份认证载体。而单纯的手机客户端软件,其密钥体系存在于安卓系统内,相对比较容易攻破。

因此,许多专家建议增加一个专用的外设载体或在手机中增加安全芯片来承担“安全屋”的角色,在这个体系里专门存放密钥数据。

据悉,随着移动支付手段的发展及对安全需求的增长,目前已经有许多手机厂商推出配备了相应的安全模块的高端机。

但是,某大型互联网公司软件工程师木言告诉《中国科学报》记者,几年前他就在研究“硬件+软件”的移动支付方案,这一套方案要想替代目前虽然有安全风险但是十分便捷的纯软件支付手段,在市场推广上需要耗费大量人力、物力。

王宇也强调,移动支付方案的替换如果完全由用户买单显然不实际。

“随着后期移动支付产业的发展及政策的落实,安全硬件技术的选择及市场接受的问题也会由产业链上的各方来解决,一切会通过市场接受度来筛选。”王宇预测道。


收藏 打印文章 点击: