压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　9月10日凌晨，蘋果發(fā)布了最新iPhone和其首款可穿戴設(shè)備Apple Watch。但很多分析師卻認(rèn)為蘋果新的移動(dòng)支付服務(wù)Apple Pay才是真正的“游戲改變者”。Apple Pay能夠使用指紋識(shí)別技術(shù)Touch ID安全進(jìn)入。這項(xiàng)服務(wù)能夠讓用戶在蘋果設(shè)備中儲(chǔ)存其信用卡賬號(hào)，并通過點(diǎn)擊手機(jī)或者智能手表完成支付。

　　蘋果是否真的讓黑客江郎才盡了蘋果公司正在押寶。最近蘋果公司推出了一項(xiàng)新型的安全支付方式-Apple Pay，引發(fā)了零售業(yè)和科技行業(yè)的熱議。如果蘋果能夠正確地實(shí)現(xiàn)NFC支付系統(tǒng)，它“絕對(duì)”能提高安全性，防止災(zāi)難級(jí)的信用卡信息泄密事件再次獨(dú)占新聞?lì)^條。

　　在當(dāng)前泄密成風(fēng)的環(huán)境（哪個(gè)國(guó)家不泄露個(gè)幾百萬(wàn)信用卡數(shù)據(jù)，該國(guó)黑客都快抬不起頭了）中，安全的運(yùn)用NFC技術(shù)有可能讓移動(dòng)支付成為一個(gè)“游戲改變者”。但是，這不是產(chǎn)生的唯一結(jié)果。隨著NFC支付越來(lái)越受歡迎，它可能推動(dòng)新的創(chuàng)新，激發(fā)更多更新穎的信用卡支付的技術(shù)。蘋果至少是進(jìn)入NFC支付市場(chǎng)排名前三的玩家，而且依照現(xiàn)在的情況來(lái)看，磁條信用卡正逐漸的被淘汰，這也意味著給黑客帶來(lái)更多的挑戰(zhàn)。

　　歷史經(jīng)驗(yàn)

　　NFC技術(shù)已經(jīng)在移動(dòng)支付領(lǐng)域流行了一段時(shí)間了。在2011年9月，谷歌通過谷歌錢包（Google Wallet）進(jìn)正式軍移動(dòng)支付領(lǐng)域。

　　不過，谷歌錢包的推出和普及卻遭到了移動(dòng)運(yùn)營(yíng)商的打壓（俗稱“坑殺”，挖了個(gè)坑給埋了），導(dǎo)致僅有少量的手機(jī)能夠使用谷歌錢包。被打壓的理由是安卓手機(jī)使用了一個(gè)名為安全單元（Secure Element）的組件，用于NFC支付系統(tǒng)在受保護(hù)的內(nèi)存中存儲(chǔ)金融數(shù)據(jù)。由于安全單元的使用，移動(dòng)運(yùn)用商要求禁用谷歌錢包的應(yīng)用程序。打壓背后的意圖是路人皆知的，即幫助運(yùn)營(yíng)商贏得時(shí)間開發(fā)他們自己的支付系統(tǒng)。在2010年末，Verizon、T-Mobile和AT&T攜手創(chuàng)建了一家名為ISIS錢包的合資公司，目的是來(lái)設(shè)計(jì)NFC支付系統(tǒng)（該公司近期更名為SoftCard，避免和中東恐怖組織ISIS扯上關(guān)系）。可是，相比于谷歌錢包，ISIS錢包還是慢半拍，一直到2012年中期也只能提供試運(yùn)行。在Google、運(yùn)行商以及ISIS暗中較勁時(shí)，蘋果卻另辟蹊徑，選擇使用iBeacon技術(shù)。iBeacon是邁向基于藍(lán)牙4.0的近端付款的第一步，也是蘋果在無(wú)線POS產(chǎn)品中的首次試水。然而，此項(xiàng)技術(shù)作為支付平臺(tái)并未流行起來(lái)。

　　盡管蘋果和谷歌的首次嘗試都遇到了阻力，但兩公司還是堅(jiān)定不移地投入到各自產(chǎn)品的改進(jìn)工作中。谷歌的工程師通過基于主機(jī)的卡仿真技術(shù)（Host-Based Card Emulation，簡(jiǎn)稱HCE）來(lái)解決安全元件的問題，已在Android4.4系統(tǒng)提供支持。蘋果公司放棄了iBeacon，轉(zhuǎn)向NFC支付技術(shù)，即今天的主角Apple Pay。

　　Freebuf小知識(shí)

　　1. 【NFC】：一種近距離無(wú)線通訊技術(shù)。它允許兩個(gè)設(shè)備在數(shù)英尺距離內(nèi)互相傳輸數(shù)據(jù)。NFC手機(jī)能夠與其他支持NFC技術(shù)的設(shè)備交換數(shù)據(jù)，也可以讀取海報(bào)、價(jià)錢或其他產(chǎn)品上的智能標(biāo)簽信息。】

　　2.【iBeacon】：是蘋果公司開發(fā)的一種通過低功耗藍(lán)牙技術(shù)，可實(shí)現(xiàn)十分精確的微定位技術(shù)。iBeacon基站可以創(chuàng)建一個(gè)信號(hào)區(qū)域，當(dāng)設(shè)備進(jìn)入該區(qū)域時(shí)，相應(yīng)的應(yīng)用程序便會(huì)提示用戶是否需要接入這個(gè)信號(hào)網(wǎng)絡(luò)。

　　3.【安全單元（Secure Element）】：為NFC設(shè)備上專用的微處理芯片，與手機(jī)的主操作系統(tǒng)及硬件互相獨(dú)立。只有像谷歌錢包這樣的已認(rèn)證程序才能訪問該芯片，并發(fā)起交易。該芯片可以與NFC控制器集成在一起。另外也可以集成在NFC設(shè)備中的其它智能卡/安全設(shè)備中。

　　4. 【基于主機(jī)的卡仿真（HCE）】當(dāng)采用安全元件提供的NFC卡仿真，被仿真的卡是通過Android應(yīng)用程序配置到該設(shè)備上的SE，如圖1。然后，當(dāng)用戶將設(shè)備放在一個(gè)NFC終端上，在設(shè)備安卓設(shè)備上的NFC控制器轉(zhuǎn)發(fā)所有數(shù)據(jù)直接從讀卡器到安全元件。當(dāng)使用基于主機(jī)的卡仿真模擬的NFC卡，這些數(shù)據(jù)被傳輸?shù)竭\(yùn)行在安卓應(yīng)用程序上的主機(jī)CPU，而不是NFC協(xié)議的幀傳輸?shù)桨踩希鐖D2。

　　從技術(shù)上看，后臺(tái)架構(gòu)為這次的變革做好了準(zhǔn)備。最近幾年，包括麥當(dāng)勞的幾個(gè)企業(yè)已升級(jí)他們的電子銷售點(diǎn)（EPOS）系統(tǒng)，通過非接觸式NFC讀卡器來(lái)實(shí)現(xiàn)快速支付。

　　蘋果支付的工作流程類似于：首先啟動(dòng)手機(jī)上的支付APP，然后把手機(jī)輕輕貼著NFC讀卡器來(lái)建立NFC鏈接。終端設(shè)備安全地連接到支付系統(tǒng)，然后選擇一個(gè)已存儲(chǔ)在手機(jī)上的信用卡。實(shí)際的信用卡號(hào)碼不會(huì)存儲(chǔ)在手機(jī)上，而是存儲(chǔ)為設(shè)備賬號(hào)號(hào)碼（Device Account Number，簡(jiǎn)稱DCE）。在交易過程中，該設(shè)備賬號(hào)號(hào)碼與一個(gè)交易安全碼相結(jié)合，然后由iPhone6上的指紋掃描器來(lái)授權(quán)（在iPhone5需要輸入PIN密碼許可）。安全元件的芯片會(huì)驗(yàn)證這次交易，并將授權(quán)信息轉(zhuǎn)發(fā)到NFC調(diào)制解調(diào)器。接下來(lái)，商家把交易信息轉(zhuǎn)發(fā)到為商家提供擔(dān)保的收單銀行。信息再?gòu)膿?dān)保銀行發(fā)送到支付處理網(wǎng)絡(luò)。支出處理機(jī)構(gòu)（如維薩-VISA， 萬(wàn)事達(dá)-Mastercard等）判定賬戶信息、使用的信用卡，并確保交易安全碼是有效的。

　　因?yàn)橹Ц短幚頇C(jī)構(gòu)正在訪問設(shè)備數(shù)據(jù)，所以蘋果并沒有記錄什么信用卡正在被使用，或怎樣使用。

　　信用卡已成為眾矢之的

　　隨著媒體的深度報(bào)道，黑客早就緊盯著美國(guó)零售商。對(duì)此，有一個(gè)很好的解釋：那可是信用卡數(shù)據(jù)匯聚的地方。2013年末，全美

　　流通著12億張借記卡、信用卡以及預(yù)付卡，多于其他的區(qū)域。其他的發(fā)達(dá)國(guó)家已經(jīng)遷移到智能卡付款系統(tǒng)，然而美國(guó)還幾乎全部依賴于磁條卡。由于磁條卡更易被罪犯利用，所以磁條卡對(duì)黑客更有價(jià)值。在2012年，黑客造成全球支付卡損失了113億美元（包括零售商和發(fā)卡行），而美國(guó)貢獻(xiàn)了47%。

　　蘋果支付的安全評(píng)估

　　按道理來(lái)說(shuō)，NFC支付應(yīng)該更安全。不同于傳統(tǒng)的信用卡，NFC支付針對(duì)每次購(gòu)買都會(huì)產(chǎn)生一串新的數(shù)字，而不是發(fā)送用戶的信用卡信息。安全元件使黑客難以利用盜取的數(shù)字串用于任何其他的目的。在傳統(tǒng)模型中，商家必須要接收信用卡信息，即使是已加密過。商家必須承擔(dān)保存和處理信用卡號(hào)的責(zé)任。然而，NFC系統(tǒng)讓使用現(xiàn)有的黑客技術(shù)難以截獲信用卡信息。因?yàn)榻灰走^程不需要刷卡，分離器沒有機(jī)會(huì)來(lái)獲取磁性信用卡數(shù)據(jù)。此外，這也緩解了來(lái)自內(nèi)存抓取（memory-scraping）惡意軟件的威脅，例如BlackPOS 或 Dexter。

　　可能在未來(lái)的某個(gè)時(shí)刻，一個(gè)小型天線放置在NFC讀卡器旁邊，也許能夠捕獲NFC讀卡器和手機(jī)之間的通信。但是，因?yàn)楹诳椭荒懿东@結(jié)合了交易碼的設(shè)備賬戶號(hào)碼，把竊聽的通信再次用于惡意目的幾乎不可能。這個(gè)過程也可以阻止黑客從商家尋找信用卡，因?yàn)樗麄儍H使用基于NFC支付系統(tǒng)來(lái)處理設(shè)備賬戶號(hào)碼和安全交易信息，而不是信用卡號(hào)。即使黑客能夠訪問零售商的網(wǎng)絡(luò)，交易信息具有僅使用一次的特性，這讓黑客的計(jì)劃落空了。目前，尚不清楚零售商是否會(huì)存儲(chǔ)這類信息。當(dāng)然，我們預(yù)料到終有一天黑客們會(huì)像傳統(tǒng)基于磁條的卡片中的數(shù)據(jù)使用基于NFC支付系統(tǒng)中的數(shù)據(jù)。

　　Freebuf科普

　　1.【ATM分類器（ATMSkimmers）】直譯過來(lái)為 ATM 分離器，是一種依附在正常自動(dòng)提款機(jī)上的硬件設(shè)備，通常覆蓋在鍵盤、銀行卡插槽上，偽裝成正常的鍵盤和銀行卡插槽，并且與原設(shè)備嚴(yán)絲合縫，基本上普通用戶很難區(qū)別出來(lái)假的鍵盤、銀行卡插槽，用來(lái)竊取用戶輸入的密碼以及銀行卡數(shù)據(jù)的一種電子硬件設(shè)備。

　　未來(lái)方向

　　展望未來(lái)，移動(dòng)支付安全會(huì)依賴于三個(gè)組件：用戶身份認(rèn)證、移動(dòng)應(yīng)用程序的驗(yàn)證、第三方支付執(zhí)行機(jī)構(gòu)（third payment processor）。

　　第一個(gè)是身份認(rèn)證。蘋果支付使用生物特征用于身份認(rèn)證。然而，iPhone5S僅發(fā)布兩天后，黑客就成功了繞過了iPhone5S的指紋識(shí)別系統(tǒng)Touch ID，由此表明這仍是一項(xiàng)新型的技術(shù)。數(shù)據(jù)的匯聚是關(guān)鍵，也是這種新型金融形式所帶來(lái)的主要風(fēng)險(xiǎn)。當(dāng)我們著眼于個(gè)人組件、漏洞，以及他們帶來(lái)的風(fēng)險(xiǎn)，我們必須將這個(gè)過程視為一個(gè)整體。

　　第二點(diǎn)，我們必須考慮第三方APP和惡意程序是如何影響Apple Pay。當(dāng)蘋果還沒有向第三方APP開發(fā)接口時(shí)，我們?cè)缫言趲缀趺總€(gè)移動(dòng)環(huán)境觀察到了惡意程序。在這種情況下，信用卡號(hào)在錄入到移動(dòng)終端時(shí)可能存在被盜取的風(fēng)險(xiǎn)。信用卡信息通過對(duì)信用卡拍照或手動(dòng)輸入等方式錄入到Passbook中。這是數(shù)據(jù)最脆弱的時(shí)候，因?yàn)閻阂獬绦蚩赡車L試截獲信用卡的照片或手動(dòng)輸入的信用卡信息。

　　最后，支付的基礎(chǔ)設(shè)施服務(wù)。考慮到要通過這些服務(wù)處理大量的資金，因此這些服務(wù)通常擁有比較強(qiáng)的安全性。隨著POS系統(tǒng)逐漸轉(zhuǎn)向了NFC支付，商家網(wǎng)絡(luò)中基于磁條的卡憑證數(shù)據(jù)會(huì)越來(lái)越少。黑客們當(dāng)然不會(huì)輕易放棄自己的事業(yè)，而是把精力投放到下一個(gè)最薄弱點(diǎn)。

　　最后的思考

　　消費(fèi)欺詐是一個(gè)巨大的市場(chǎng)。我們必須想到那些實(shí)施網(wǎng)上欺詐的家伙們一定會(huì)挖空心思尋找這個(gè)新技術(shù)的空隙來(lái)維持他們的收入來(lái)源。隨著智能設(shè)備上的購(gòu)物和銀行服務(wù)不斷普及，你可以清楚預(yù)見到未來(lái)犯罪所關(guān)注的焦點(diǎn)，即能否在衍化的新環(huán)境中重現(xiàn)傳統(tǒng)的欺詐手段或挖掘出新的漏洞或機(jī)會(huì)。

　　此刻，盡管看起來(lái)蘋果支付和其他NFC移動(dòng)支付系統(tǒng)提供了增強(qiáng)的安全性，防止傳統(tǒng)零售業(yè)的信用卡泄露事件發(fā)生。由于移動(dòng)支付能夠?yàn)槿藗兲峁O大的便利和效率，隨著消費(fèi)者不斷增加對(duì)虛擬的錢包、支付以及賬戶的依賴，信用卡很有可能將會(huì)不斷演進(jìn)。隨著消費(fèi)行為的轉(zhuǎn)變，我們預(yù)料到罪犯也會(huì)緊跟趨勢(shì)，不斷創(chuàng)新，否則就被市場(chǎng)淘汰了。