来源:eccn
时间:2014-11-25
在移动支付发展的近几年时间里,大量时间都在支付的便捷性上做文章。
在大部分情况下,完成一次移动支付行为,你只需要一次短信验证。或许曾经有那么一瞬间你会感觉到这是不是有风险,但其便捷性又让你转身把风险抛到脑后。
有一天,当你下载安装了一个银行手机客户端,与手机号绑定后在网上购物。在支付购物款时却无法收到银行发来的支付验证码短信,可是银行客服却表示已经支付成功。银行账户中的钱遂不翼而飞。
因为在大家不经意间,移动端支付的病毒来了。
上述实例即是手机银行客户端感染病毒的典型征兆。这类病毒一般会诱导用户填写姓名、身份证、手机号等信息,然后拦截并上传银行发来的支付验证短信,通过支付验证码窃取用户资金。
手机支付病毒的感染率远比你想象中的高。
根据腾讯发布的《2014年第二期支付安全微报告》显示,2014年前三季度,手机支付病毒感染总人次已达1105万,截止到2014年9月,累计拦截支付病毒包163031个,支付病毒包已增长到安卓病毒包总量的11.01%。
此外,手机支付病毒主要攻击特点为静默发送、删除短信与转发短信,占比77%。简单来说,手机支付病毒其中一种运转方式就是通过转发用户手机中的短信支付验证码盗刷用户账户资金。
事实上,上述的短信验证码的验证行为从支付的专业角度上来说,是完成了认证和授权两个步骤。
也就是说你收到了短信验证码,可以证明当下执行支付行为的人就是当初绑定的手机持有者,而输入短信验证码的行为则代表了对执行该次支付行为的授权。
简单来说,就是短信验证码可以让支付公司认为“我是我”,但是在大部分案例中,问题都出在这个环节。
在并未解决该验证的安全性问题的时候,创新却并未止步。
正在流行的微信二维码支付和支付宝扫码支付等,甚至省略了认证“我是我”这个环节,任何人持有该手机都能轻而易举地通过“扫码”进行支付操作。
创新真的要以丧失安全性为代价吗?
“支付的验证环节目前可以分为强验证和弱验证。弱验证便是目前市场上大部分移动支付所采用的验证方式,如短信、手势、二维码等。换句话说,弱验证就是任何人拿了你的手机,知道你的密码,就可以在上面进行支付操作。”一位银行界人士告诉笔者,“为什么银行在移动支付方面走得慢?不是因为技术上达不到,二维码、条形码、手势并不是什么困难的技术。但是在支付的安全性方面,你不担心,银行却为你担心,国家却为你担心。”
据该银行人士介绍,强验证目前只有一种,就是U盾。
U盾又称作移动数字证书。数字证书中除了包含你个人的身份信息外,对每一笔交易的时间、地址、金额等都包含不可读取的加密信息,发送给银行。
当你尝试进行网上交易时,银行会综合得出一个加密的交易字串A,你的U盾将根据你的个人证书对字串A进行不可逆运算得到字串B,并将字串B发送给银行,银行端也同时进行该不可逆运算,如果两者运算结果一致才会完成交易。
“目前也有公司在研究移动端的类U盾的证书加密交易和个人支付芯片等增加支付安全性的手段,但是在此之前,移动支付的安全性与银行U盾实在没有可比性。”上述银行人士表示。
ICkey(云汉芯城)是一家一站式电子元器件采购网, 提供Digikey、Mouser(贸泽)、Element14(e络盟)、Wpi(大联大)、Future(富昌)、Avnet(安富利)、Arrow(艾睿)、Chip1stop、Onlinecomponents、Master等主流供货商的芯片采购服务,在IC采购, 元器件交易和IC交易业务领域中排名的在线采购平台。