[5.jpg]

‍ ‍ 蘋果支付的安全評估

‍ ‍ 按道理來說，NFC支付應(yīng)該更安全。不同于傳統(tǒng)的信用卡，NFC支付針對每次購買都會產(chǎn)生一串新的數(shù)字，而不是發(fā)送用戶的信用卡信息。安全元件使黑客難以利用盜取的數(shù)字串用于任何其他的目的。在傳統(tǒng)模型中，商家必須要接收信用卡信息，即使是已加密過。商家必須承擔(dān)保存和處理信用卡號的責(zé)任。然而，NFC系統(tǒng)讓使用現(xiàn)有的黑客技術(shù)難以截獲信用卡信息。因為交易過程不需要刷卡，分離器沒有機會來獲取磁性信用卡數(shù)據(jù)。此外，這也緩解了來自內(nèi)存抓取（memory-scraping）惡意軟件的威脅，例如BlackPOS 或 Dexter。

可能在未來的某個時刻，一個小型天線放置在NFC讀卡器旁邊，也許能夠捕獲NFC讀卡器和手機之間的通信。但是，因為黑客只能捕獲結(jié)合了交易碼的設(shè)備賬戶號碼，把竊聽的通信再次用于惡意目的幾乎不可能。這個過程也可以阻止黑客從商家尋找信用卡，因為他們僅使用基于NFC支付系統(tǒng)來處理設(shè)備賬戶號碼和安全交易信息，而不是信用卡號。即使黑客能夠訪問零售商的網(wǎng)絡(luò)，交易信息具有僅使用一次的特性，這讓黑客的計劃落空了。目前，尚不清楚零售商是否會存儲這類信息。當(dāng)然，我們預(yù)料到終有一天黑客們會像傳統(tǒng)基于磁條的卡片中的數(shù)據(jù)使用基于NFC支付系統(tǒng)中的數(shù)據(jù)。 ‍ ‍ ‍ ‍ ‍

【Freebuf科普】‍‍
‍‍1.【ATM分類器（ATMSkimmers）】直譯過來為 ATM 分離器，是一種依附在正常自動提款機上的硬件設(shè)備，通常覆蓋在鍵盤、銀行卡插槽上，偽裝成正常的鍵盤和銀行卡插槽，并且與原設(shè)備嚴(yán)絲合縫，基本上普通用戶很難區(qū)別出來假的鍵盤、銀行卡插槽，用來竊取用戶輸入的密碼以及銀行卡數(shù)據(jù)的一種電子硬件設(shè)備。

‍ ‍ 未來方向

‍ ‍ 展望未來，移動支付安全會依賴于三個組件：用戶身份認(rèn)證、移動應(yīng)用程序的驗證、第三方支付執(zhí)行機構(gòu)（third payment processor）。

第一個是身份認(rèn)證。蘋果支付使用生物特征用于身份認(rèn)證。然而，iPhone5S僅發(fā)布兩天后，黑客就成功了繞過了iPhone5S的指紋識別系統(tǒng)Touch ID，由此表明這仍是一項新型的技術(shù)。數(shù)據(jù)的匯聚是關(guān)鍵，也是這種新型金融形式所帶來的主要風(fēng)險。當(dāng)我們著眼于個人組件、漏洞，以及他們帶來的風(fēng)險，我們必須將這個過程視為一個整體。

第二點，我們必須考慮第三方APP和惡意程序是如何影響Apple Pay。當(dāng)蘋果還沒有向第三方APP開發(fā)接口時，我們早已在幾乎每個移動環(huán)境觀察到了惡意程序。在這種情況下，信用卡號在錄入到移動終端時可能存在被盜取的風(fēng)險。信用卡信息通過對信用卡拍照或手動輸入等方式錄入到Passbook中。這是數(shù)據(jù)最脆弱的時候，因為惡意程序可能嘗試截獲信用卡的照片或手動輸入的信用卡信息。

最后，支付的基礎(chǔ)設(shè)施服務(wù)�？紤]到要通過這些服務(wù)處理大量的資金，因此這些服務(wù)通常擁有比較強的安全性。隨著POS系統(tǒng)逐漸轉(zhuǎn)向了NFC支付，商家網(wǎng)絡(luò)中基于磁條的卡憑證數(shù)據(jù)會越來越少。黑客們當(dāng)然不會輕易放棄自己的事業(yè)，而是把精力投放到下一個最薄弱點。 ‍ ‍

‍ ‍ 最后的思考

消費欺詐是一個巨大的市場。我們必須想到那些實施網(wǎng)上欺詐的家伙們一定會挖空心思尋找這個新技術(shù)的空隙來維持他們的收入來源。隨著智能設(shè)備上的購物和銀行服務(wù)不斷普及，你可以清楚預(yù)見到未來犯罪所關(guān)注的焦點，即能否在衍化的新環(huán)境中重現(xiàn)傳統(tǒng)的欺詐手段或挖掘出新的漏洞或機會。

此刻，盡管看起來蘋果支付和其他NFC移動支付系統(tǒng)提供了增強的安全性，防止傳統(tǒng)零售業(yè)的信用卡泄露事件發(fā)生。由于移動支付能夠為人們提供極大的便利和效率，隨著消費者不斷增加對虛擬的錢包、支付以及賬戶的依賴，信用卡很有可能將會不斷演進(jìn)。隨著消費行為的轉(zhuǎn)變，我們預(yù)料到罪犯也會緊跟趨勢，不斷創(chuàng)新，否則就被市場淘汰了。