二维码支付或成移动支付时代安全屏障
眼下,站上移动支付风口的智能POS也站在了舆论的风口。
10月下旬,在2017安全极客大赛上,一支参赛团队仅用25分钟就利用某厂商的一款智能POS终端的漏洞,偷偷在智能POS中植入一个后门,替换关键应用软件,继而获得所有在POS机上的刷卡信息,包括支付密码。
据悉,这款智能POS被广泛用于各种移动支付线下交易场景,2016年上市以来,累计出货量已超150万台。随后,智能POS厂商针对此事做出回应,称盘古实验室利用未公开的终端操作系统漏洞对POS设备进行模拟攻击演示,而且此次受攻击的产品固件为早期版本,现有固件版本的防护机制可以有效防护针对该漏洞的攻击。
回应中“未公开的终端操作系统漏洞”,实际是将问题矛头指向目前智能POS普遍使用的安卓系统。
据悉,在安卓操作系统下,所有源码对外开源。因此,其漏洞更容易被发现,也更容易被攻击。据统计,2016年上半年安卓新增手机支付病毒包高达32.33万个,相较于2015年增长了986.14%。感染用户数达1670.33万,增长45.82%。由于智能POS使用了同样的Android系统,这些病毒的大部分将适用于智能POS。
不过,银联在事后回应中指出:真实终端在收单机构和商户的严格管理下,不会轻易被攻击破解,风险可控。且该攻击仅能够获取银行卡磁条信息,不能复制芯片卡信息。根据人民银行要求,2015年起已全面换发芯片卡,目前复合卡的磁条交易已全部关闭,使用芯片卡进行挥卡、插卡操作不会发生此类问题。
对此,一位不愿具名的业内安全专家则对记者表示,智能POS支持磁条卡、芯片卡、二维码等多种支付方式。不过,无论是与磁条卡还是芯片卡相比,当下移动支付的主流方式——二维码支付才是一种更为安全的选择:“二维码支付的安全性是通过“二维码+动态口令”方案来保证的,这一方案为二维码支付打造了一道安全可靠的屏障”。
据悉,二维码是用计算机软件编码技术形成的平面几何图形,能够在横向和纵向两个方位同时表达信息,可以存储数字、汉字和图片。本质上,二维码是一种承载信息的载体,可以承载商户信息、交易金额、支付凭证信息等。这就为二维码应用在支付上提供了基础。不过,要实现安全的二维码支付还需要结合“动态口令”这一技术。动态口令是根据专门的算法生成一个不可预测的随机数字组合,每个密码只能使用一次,被广泛运用在网银、网游、电信运营商、电子商务等应用领域。
当二维码与动态口令技术相结合时,二维码支付的安全性就产生了质变。如果仔细观察用于收付款的二维码便会发现,这些二维码在短时间内会自动失效,如果无法完成操作的话必须重新生成二维码。正是因为二维码支付这种“动态性”,二维码信息被截取利用的风险就大大降低了。
当下,二维码支付不乏拥趸者。过去数年里,以微信支付为代表的第三方支付机构大力推动二维码支付普及,“扫一扫”逐渐成为一种大众支付方式。在二维码支付安全方面,微信支付也早有动作。今年4月,腾讯玄武实验室就曾对国内二维码技术公司的自助式扫码支付设备“意锐小白盒”做出安全认证。
除了微信支付外,2016年12月,银联也推出《中国银联二维码支付安全规范》,银联二维码遵循现有银行卡支付的四方模式,采用支付标记化(Token)技术以确保支付安全。
“在移动支付发展的大潮下,二维码支付的安全性会不断得到验证及强化。二维码支付技术为移动支付时代树立了一道安全屏障”,上述业内安全专家表示:“智能POS作为移动支付时代的产物,也应该将扫码支付作为最主要的支付方式。”