賽門鐵克解析新iPhone手機可能帶來的支付安全變革
責編:admin |2014-09-19 16:22:28蘋果公司宣布新的iPhone 6手機將采用非接觸式支付服務,這意味著蘋果公司正式進入支付服務市場。蘋果公司最近推出兩個新的iPhone型號及Apple Watch,并同時公布了Apple Pay的細節,該應用程序允許用戶使用近距離無線通信(NFC)技術進行付款。
賽門鐵克公告:賽門鐵克解析新iPhone手機可能帶來的支付安全變革
蘋果公司并未創建自己的支付基礎架構,而是與Visa、MasterCard、American Express及多家主要發卡銀行簽訂了交易協議。這些銀行將在現有的支付卡網絡上看到通過新iPhone手機完成的付款。
一鍵支付
新的iPhone 6用戶無需解鎖手機或啟動某些應用程序,將手機靠近非接觸式閱讀器就可完成商品及服務費用的支付。當用戶將手指放在蘋果的Touch ID指紋傳感器上,閱讀器即可驗證本次支付的金額和用戶身份信息。
蘋果公司宣稱,在處理交易時不會使用實際的信用卡和借記卡卡號。取而代之的是,當用戶在Apple Pay中添加支付卡時,會在手機里添加一個獨特的“設備帳號”,并且該帳號將會被安全地存儲在專用芯片中。這些帳號絕對不會被傳輸到蘋果服務器。在處理付款時,用戶會通過使用“設備帳號”和特定的當下交易一次性“動態安全碼”來完成付款。
雖然非接觸式支付和NFC集成技術在智能手機上并非首創,但此次應用在iPhone手機上也許意味著該項技術可能逐漸成為主流付款方式。這自然會吸引攻擊者的注意力,近期美國發生的大型信用卡泄露事件就是以支付卡終端為主要的攻擊目標。在某些情況中,安裝在銷售點(PoS)終端上的惡意軟件導致了海量的客戶支付卡詳細信息被傳輸出去。
支付安全性或將得以提高
根據Gartner預測,Apple Pay應用可能會受到擔心PoS終端泄露的商家的歡迎。使用Apple Pay意味著消費者無需將支付卡數據存儲在手機上,相反,當他們準備付款時,發卡銀行會向手機提供一次性令牌以啟動支付流程。
Gartner的Avivah Litan表示,“令牌碼并不是信用卡號。商家將因此獲得很多安全優勢,尤其是當他們無需接受、存儲或傳輸實際的信用卡號,”她補充道,商家支付卡行業(PCI)的合規審計范圍還將大幅縮小。Litan表示,由于犯罪分子無法重新使用一次性令牌碼,所以不會費時費力地實施竊取,商家有可能會因此避免支付卡數據泄露事件。
為了確保Apple Pay可以被廣泛采用,Gartner建議蘋果公司在這個領域上繼續努力。相比消費者,商家的接受程度往往才是成功的標志。考慮到大量的商家已花重金遷移到EMV(芯片和 PIN)終端或‘點對點’加密 (P2PE),蘋果公司可能需要向商家提供更多讓利,例如降低手續費等。
其他專家也認為NFC移動支付可以減少PoS泄露。“蘋果公司可以說是沉睡的電子錢包巨人,這個支付方式可以顯著降低PCI DSS [數據安全標準]對于商家的影響。”Sysnet Global Solutions的Branden Williams告訴《福布斯》,“如果零售商只接受通過NFC P2PE終端進行的交易,我們可以想象,他們的大部分基礎架構都可以被移除,并且不再成為主要的攻擊目標。”
諸如Apple Pay這樣的系統無疑可以彌補某些薄弱環節,而這些薄弱點曾為近期針對PoS系統的攻擊打開了方便之門。但是,這不應當成為掉以輕心的理由。賽門鐵克認為,一旦某個攻擊途徑被堵住,攻擊者往往會找尋其他漏洞。倘若Apple Pay成為支付方法,攻擊者很可能會針對NFC支付的安全性發起猛烈的攻擊測試。