[摘要][5.jpg]‍ ‍ 苹果支付的安全评估‍ ‍ 按道理来说,NFC支付应该更安全。不同于传统的信用卡,NFC支付针对每次购买都会产生一串新的数字,而不是发送用户的信用卡信息。安全元件使黑客难以利用盗取的数字串用于任何其他的目的。在传统...
[5.jpg]
苹果支付的安全评估
按道理来说,NFC支付应该更安全。不同于传统的信用卡,NFC支付针对每次购买都会产生一串新的数字,而不是发送用户的信用卡信息。安全元件使黑客难以利用盗取的数字串用于任何其他的目的。在传统模型中,商家必须要接收信用卡信息,即使是已加密过。商家必须承担保存和处理信用卡号的责任。然而,NFC系统让使用现有的黑客技术难以截获信用卡信息。因为交易过程不需要刷卡,分离器没有机会来获取磁性信用卡数据。此外,这也缓解了来自内存抓取(memory-scraping)
恶意软件的威胁,例如BlackPOS 或 Dexter。
可能在未来的某个时刻,一个小型天线放置在NFC读卡器旁边,也许能够捕获NFC读卡器和手机之间的通信。但是,因为黑客只能捕获结合了交易码的设备账户号码,把窃听的通信再次用于恶意目的几乎不可能。这个过程也可以阻止黑客从商家寻找信用卡,因为他们仅使用基于NFC支付系统来处理设备账户号码和安全交
易信息,而不是信用卡号。即使黑客能够访问零售商的网络,交易信息具有仅使用一次的特性,这让黑客的计划落空了。目前,尚不清楚零售商是否会存储这类信息。当然,我们预料到终有一天黑客们会像传统基于磁条的卡片中的数据使用基于NFC支付系统中的数据。
【Freebuf科普】
1.【ATM分类器(ATMSk
immers)】直译过来为 ATM 分离器,是一种依附在正常自动提款机上的硬件设备,通常覆盖在键盘、银行卡插槽上,伪装成正常的键盘和银行卡插槽,并且与原设备严丝合缝,基本上普通用户很难区别出来假的键盘、银行卡插槽,用来窃取用户输入的密码以及银行卡数据的一种电子硬件设备。
未来方向
展望未来,移动支付安全会依赖于三个组件:用户身份认证、移动应用程序的验证、第三方支付执行机构(third payment pro
cessor)。
第一个是身份认证。苹果支付使用生物特征用于身份认证。然而,iPhone5S仅发布两天后,黑客就成功了绕过了iPhone5S的指纹识别系统To
uch ID,由此表明这仍是一项新型的技术。数据的汇聚是关键,也是这种新型金融形式所带来的主要风险。当我们着眼于个人组件、漏洞,以及他们带来的风险,我们必须将这个过程视为一个整体。
第二点,我们必须考虑第三方APP和恶意程序是如何影响Apple Pay。当苹果还没有向第三方APP
开发接口时,我们早已在几乎每个移动环境观察到了恶意程序。在这种情况下,信用卡号在录入到移动终端时可能存在被盗取的风险。信用卡信息通过对信用卡拍照或手动输入等方式录入到Passbook中。这是数据最脆弱的时候,因为恶意程序可能尝试截获信用卡的照片或手动输入的信用卡信息。
最后,支付的基础设施服务。考虑到要通过这些服务处理大量的资金,因此这些服务通常拥有比较强的安全性。随着POS系统逐渐转向了NFC支付,商家网络中基于磁条的卡凭证数据会越来越少。黑客们当然不会轻易放弃自己的事业,而是把精力投放到下一个最薄弱点。
最后的思考
消费欺诈是一个巨大的市场。我们必须想到那些实施网上欺诈的家伙们一定会挖空心思寻找这个新技术的空隙来维持他们的收入来源。随着智能设备上的购物和银行服务不断普及,你可以清楚预见到未来犯罪所关注的焦点,即能否在衍化的新环境中重现传统的欺诈手段或挖掘出新的漏洞或机会。
此刻,尽管看起来苹果支付和其他NFC移动支付系统提供了增强的安全性,防止传统零售业的信用卡泄露事件发生。由于移动支付能够为人们提供极大的便利和效率,随着消费者不断增加对虚拟的钱包、支付以及账户的依赖,信用卡很有可能将会不断演进。随着消费行为的转变,我们预料到罪犯也会紧跟趋势,不断创新,否则就被市场淘汰了。
上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。
……