按:作者系安全公司資深安全人士。
2月20日凌晨,Apple Pay正式登陸中國,筆者馬上就綁了自己的銀行卡,雖然中途的綁定驗證頗為曲折,但明眼人一看就明白,這和蘋果沒多大關(guān)系,關(guān)鍵的認(rèn)證步驟是銀聯(lián)的服務(wù)器撐不太住。到了中午,筆者去麥當(dāng)勞體驗了把Apple Pay,第一次用有點生澀,不過感覺用戶習(xí)慣了后的體驗肯定是秒殺各種支付應(yīng)用的。于是晚上,各路人士肯定是要對Apple Pay品評一番的,到這里咱也不能免俗,來說兩句。
首先,筆者發(fā)現(xiàn)很多人拿Apple Pay和微信、支付寶等支付應(yīng)用去對標(biāo),什么微信支付寶向左,銀聯(lián)Apple Pay向右 ,這么對標(biāo)顯然是愚蠢的,兩個東西完全不在一個維度。簡單來說,Apple Pay可以不用聯(lián)網(wǎng)進行支付,從這一點出發(fā),咱就不要把Apple Pay當(dāng)成一個支付應(yīng)用,因為它有其他支付應(yīng)用沒有的能力,它其實就是一張高科技銀行卡。
從銀行卡這個思路我們?nèi)シ治霭踩珪菀桌斫猓缙趥鹘y(tǒng)的銀行卡是磁條卡,磁條卡并沒有太多的安全認(rèn)證,導(dǎo)致讀取到磁條中的數(shù)據(jù)就可以復(fù)制成一張新的銀行卡,于是我們經(jīng)常可以看見盜刷復(fù)制銀行卡的新聞,不法分子一般都是通過非法磁條卡讀寫設(shè)備復(fù)制銀行卡。
于是銀行開始推更安全的芯片卡,芯片可以存儲密鑰、數(shù)字證書、指紋等信息。筆者對這個領(lǐng)域并不熟悉,不過還是加勁解釋下,芯片卡能通過非對稱加密的方式,和POS機進行雙向公私鑰驗證,通俗說就是銀行卡認(rèn)設(shè)備了,非法設(shè)備已經(jīng)無法復(fù)制銀行卡了。
回到Apple Pay上,Apple Pay能夠做到離線支付,那是不是銀行卡被復(fù)制到了蘋果手機中呢?并沒有,Apple Pay的綁定銀行卡過程,不是把銀行卡芯片中的密鑰和數(shù)據(jù)直接復(fù)制到手機上,實際上是把卡號和相關(guān)的密碼或者信用卡的CVV輸入到手機應(yīng)用里,然后Apple Pay和銀聯(lián)的服務(wù)器做一次設(shè)備認(rèn)證綁定。這個設(shè)備認(rèn)證的過程Apple Pay會生成一個唯一的設(shè)備賬號與之對應(yīng),設(shè)備認(rèn)證綁定后,以后要和POS機進行安全認(rèn)證的數(shù)據(jù)Token等存儲在iphone安全芯片中。
目前這類安全支付的安全攻防的落點都在硬件安全體系上,蘋果是以Secure Boot Chain、Secure Element、Secure Enclave、Touch ID、NFC Controller為支柱的硬件安全體系,安卓陣營則是以ARM的TrustZone技術(shù)為安全標(biāo)準(zhǔn),這些安全標(biāo)準(zhǔn)一般人都太難以理解,這里我們不深入解釋,筆者在這個領(lǐng)域不太熟悉,憑自己的經(jīng)驗和認(rèn)識來來談?wù)?strong>Apple Pay和安全相關(guān)多個攻擊面:
第一個攻擊面,Apple Pay的NFC近場通信是否有安全隱患,比如說通信協(xié)議的重放,咱是不是可以脫離手機設(shè)備無限制地重復(fù)支付同一個交易,這個肯定想都不用想,在架構(gòu)設(shè)計上蘋果肯定會杜絕這種低級錯誤。
不過NFC攻擊可是千變?nèi)f化,比如2013年DEFCON-20上曾有一個“NFC Hacking: The Easy Way ”的議題,提到了NFC跳板攻擊,議題放出過一個概念性的攻擊例子,利用兩個NFC手機做跳板,釣魚欺騙你的銀行卡支付遠端的一個POS機,其中的攻擊原理把這張銀行卡換成Apple Pay手機,應(yīng)該也一樣能攻擊成功,不過筆者覺得在小額度支付的場景,實施這樣的釣魚攻擊成本太高,黑客始終還是無法無限制地盜刷支付。
第二個攻擊面,來自Apple Pay業(yè)務(wù)層次的安全,現(xiàn)在蘋果手機已經(jīng)變成銀行卡了,而這個銀行卡的密碼不再是銀行密碼了,而是你的鎖屏密碼和指紋。
所以如果手機丟失了,你來不及鎖定注銷Apple Pay,那不法分子使用你的鎖屏密碼或指紋可能刷爆你的卡。這里的鎖屏密碼也能支付估計很多人都沒體驗到,只需要使用錯誤的指紋幾次就會進入鎖屏密碼支付流程。當(dāng)然這也是一個偽命題,前幾天FBI還在求助庫克給iPhone的鎖屏密碼開個后門,因為蘋果的Touch ID與密碼中有一項安全選項,連續(xù)輸入10次錯誤密碼就抹掉手機的所有數(shù)據(jù)!當(dāng)然這一功能明顯不適用于普通消費者,如果你的手機落在親戚小孩手上,情況可想而知。
第三個,Apple Pay軟硬件層次的攻防。
這部分烏云的文章:《Apple Pay 來了,但是它安全么?》已經(jīng)做了很詳細的科普,現(xiàn)在黑客攻防的落點是挑戰(zhàn)硬件安全體系,去年已經(jīng)有黑客攻破了部分安卓手機廠商的TrustZone安全支付方案,蘋果的Apple Pay至今還沒有人攻破。試想黑客如果能夠做到破解蘋果安全芯片的加密數(shù)據(jù),將Apple Pay的設(shè)備克隆,在世界的另外一個角落盜刷你的銀行卡,我覺得這會是本年度最轟動的安全事件。
京公網(wǎng)安備 11010502049343號