ApplePay安全吗？

Apple Pay安全吗?
2019-04-06
A
pple Pay作为多数⼈并不能⾔明的移动⽀付硬件提供商⽽⾮我们熟悉的⽀付机构，它的存在与之前的“⽀付宝”、“微信⽀付”在技术上怎样区别？这种技术的安全性⼜有⼏何？有没有不确定的风险？是不是我们真正追求的更理想的移动⽀付⼿段？
待澄清的“污点”
就在Apple Pay⼊驻中国不到3天的时间内，很多⽤户就已经开始抱怨银⾏卡绑定流程上的各种不⽅便。

虽然⼀向以⽤户体验闻名，但苹果公司对意想不到的“狂热”还是准备不⾜。

于⼥⼠就告诉记者，在最开始两天她根本⽆法有效地进⾏银⾏卡的绑定流程。

⽽⼀则⼥⼦信⽤卡绑定Apple Pay后1⼩时被盗刷7次的消息着实引起了不少⽤户的警惕。

最新的调查结果显⽰，该新闻中的当事者王⼥⼠在信⽤卡绑定Apple Pay的过程中⼏次失败，考虑到⽬前这⼀⽀付⼿段还不普及，她选⽤的是⼀张外币信⽤卡。

到最后也未能绑定成功的王⼥⼠的信⽤卡却在⼀天后接连被消费了7笔，盗刷⾦额总计1862美元、⼈民币1054元，合计约为⼈民币13193元。

更令王⼥⼠着急的是银⾏⽅⾯并不能给出明确说法。

⾄记者截稿，银⾏⽅⾯依然⽆法透露盗刷的⼿段和⼈员，唯⼀可以确定的消息是王⼥⼠的信⽤卡是在苹果商店上被使⽤的。

有分析称从⽬前放出的细节看，并没有直接的证据表明王⼥⼠的信⽤卡盗刷与她绑定Apple Pay失败相关。

尽管如此，这样疑似“污点”的消息让刚刚绑定成功、但尚未使⽤Apple Pay的韩先⽣⼗分不安。

⽽就在2⽉23⽇下午1点30分左右，他就收到了被消费16美元的短信通知。

他告诉《经济》记者：“我⽤的是⼀张双币信⽤卡，被盗刷的货币⼜是美元，会不会与早上刚看到的王⼥⼠的情况类似？”确实，与王⼥⼠不同，韩先⽣是在绑定成功3天后遭遇了盗刷，⾦额和次数也偏少。

但是类似16美元这样额度的消费让⼈很快就联想到在苹果商店的消费特征。

韩先⽣也很怀疑⾃⼰是不是遭遇了同样的⼊侵，⽽银⾏也⽆法及时向韩先⽣提供明细和账单。

韩先⽣很快就联系银⾏，将Apple Pay进⾏了解绑，从应⽤中删除了之前绑定的信⽤卡。

之所以这样做，韩先⽣认为在⽆法确定问题的情况下，谨慎的退避更能减少不必要损失，他对Apple Pay的信⼼也受到了部分影响。

虽然还没有直接证据说明其漏洞，那么从技术的⾓度来看，Apple Pay安全性到底如何？
NFC+指纹的双保险？
从技术⾓度来看，Apple Pay使⽤的是⼀种NFC技术（近场通信――Near Field Communication）和指纹加密组合⽽成的⽀付⼯具。

《关于Apple Pay的15个问题》作者、⽀付⾏业资深技术⼈员冯希顺向记者介绍到：“Apple Pay结合了令牌化和NFC技术，使⽤者可以完成应⽤内和⾮接触移动⽀付。

”
简单来讲，NFC就是把我们的银⾏卡做到⼿机⾥⾯了，跟传统的⽤法相⽐，只是通过了⾮接触的⽅式。

那么NFC这种传输⽅式可靠吗？早已推出的这种近场通信技术，除了终端和体验等因素，其潜在的风险也阻碍了它的进⼀步发展。

北京⾖荚科技有限公司联合创始⼈张楚说：“原来单独的NFC的安全性也曾受到过质疑。

焦点在于其⾮接触的通讯⽅式。

举个极端的例⼦，如果有⼀个不法分⼦拿着⼀部改装过的POS机偷偷地靠近你的⼿机，是有可能把⽤户的钱扣掉的。

严格来说这样的可能性是存在的。

”
正是基于此种考虑，苹果公司的Apple Pay选择了前⽂提到的指纹认证这⼀保护措施。

北京交通⼤学计算机与信息技术学院信息安全系副教授张⼤伟说这正是Apple Pay⼀个有意思的环节，“即要求⽤户必须在指纹认证通过后，才可以‘拿出这张银⾏卡’。

相当于给银⾏卡加了⼀个指纹认证。

”
张楚认为指纹这种个⼈的⽣物特征认证其他⼈难以轻易使⽤，他说道：“从⽬前来看，全球公认的NFC与TEE（Trusted Execution Environment――可信执⾏环境标准）下的指纹认证的组合系统是⽐较安全的，也是⽬前⽐较好的选择。

”
冯希顺表⽰：“综合以上观点，加上其⽀付流程处理是在SE中进⾏，技术上讲其安全程度基本等同于现有的基于芯⽚卡的⽀付。

”
现实的风险
尽管技术层⾯上得到⼴泛的认可，从现实的⾓度来看，Apple Pay有哪些潜在风险？在我们享受⽀付宝和微信⽀付的便捷的同时，许多纠纷也在发⽣。

就在线下每天不断被扫的条码尽管可⽤，但已经被认为存在很多问题。

Apple Pay是否要重蹈覆辙？
张⼤伟为记者解析了此前银联对条码⽀付的分析报告：“⾸先是⽀付⼯具的可见性，因为在银⾏卡内部做运算，传统银⾏卡的交易凭证你是看不见的。

但是⼆维码、条形码这类⽀付，需要交易⽅向对⽅出⽰⼆维码图⽚，于是⽀付过程就可见了。

在相对
时间之内，谁扫都可以⽀付。

其次是在订单创建⽅⾯，凭借⼆维码及部分商会信息创建线上订单，⽽并⾮在线下创建订单并交易。

此订单创建过程是完全由商家控制。

第三，⽀付机构和商业银⾏之间拥有⽆密扣款通道，跳过输⼊密码等过程。

由于订单的创建可以修改，这些在⼀定程度上存在风险。

”
⽽传统的交易⽅式是，订单⽣成后不可修改。

⼀位银⾏⼈⼠也向记者透露：“从现实的⾓度上讲，Apple Pay的安全性，⾄少是等同于芯⽚卡，即平时的银⾏卡⽀付的安全级别。

因为在芯⽚卡⽀付上，⼈民银⾏有⾮常严格的规范。

包括如何对终端、发卡⾏以及卡⽚本⾝辨别真伪，防⽌交易欺诈，都把控得很严。

可以说⾄少等同于银⾏卡的⽀付认证。

”
显然按此逻辑分析下去，Apple Pay的优势相对突出。

但是将银⾏卡和⼿机绑在⼀起的同时，会不会意味着⼿机需要更加地“诚实”？
终端安全的需要
韩先⽣这样的⽤户在疑惑，“机卡合⼀”真的就万⽆⼀失了吗？
“Apple Pay仅仅是⼀种⽀付⼿段，他的到来只能保证其本⾝的⽀付安全。

但是原来信⽤卡固有的风险是⽐较难防范的。

⽐如说，信息已经泄露。

”张楚告诉记者。

对此张⼤伟表⽰赞同：“⽀付风险不能说没有。

毕竟你将卡⽚绑定到⼿机上了，传统来讲，银⾏卡的保护更好。

现在来看，你的⼿机就是你的卡。

Apple Pay同样也⽀持线上⽀付，表明也会受到⽊马威胁。

”
此外，终端的不可控性是潜在的炸弹。

⼀位不愿意透露姓名的信息从业⼈员告诉记者，经历过苹果⼿机存在“后门”的情况下，在对待其终端的态度上相关部门会更加谨慎。

从⽬前放出的信息看，银联确实在引⼊Apple Pay上做了不少努⼒：⽆论是将数据中⼼设在中国境内，还是虚拟内存全部删除，定期接受监管部门的检查，都反映了把控程度的严格。

张楚表⽰：“监管⾮常严格。

即便是苹果⼿机，⾥⾯的技术，包括指纹操作、安全芯⽚等，都是受到国内的测试和监管。

银联内部是经过反复测试的。

”
⽽在国内暗潮涌动的移动市场争夺中，类似⼩⽶、华为等⼚商也在不断发⼒。

对近期的⼩⽶5⼿机，NFC的功能已经内置。

加之⼿机⼚商争先申请第三⽅⽀付牌照，基于国内庞⼤的使⽤⼈数，更开放的安卓系统也将迎来新的挑战。

张⼤伟表⽰由于安卓系统的更开放，公开威胁⾓度会更多。

如何将TEE技术发挥好，提⾼终端的安全性，是很重要的。

很多时候开放和安全是⼀对⽭盾。

对于很多即将拥有NFC移动⽀付⼯具的安卓系统⼿机，有没有解决⽅法？
张楚说：“除了原有的安卓系统以外，还会存在⼀个TEE的操作系统，⽤来处理指纹、⽀付这些对安全⽐较敏感的东西。

安全与开放在⼀定程度是⽭盾的。

⽬前的解决⽅案，在其系统上再使⽤进⾏⼀个⼩操作系统。

安全敏感度⾼的信息会被放在这个相对的封闭系统中处理，同时也会不影响它本⾝的开放性，这也是⾏业内通⽤的解决办法。

”
张⼤伟说：“现在来看终端安全是第⼀位的。

国内也在慢慢发展这类技术，例如华为现在已经有指纹认证。

但真正保证移动⽀付的安全，还需更多努⼒。

”
注：本⽂为⽹友上传，不代表本站观点，与本站⽴场⽆关。

好⽂章需要你的⿎励
你需要服务吗？
提供⼀对⼀服务，获得独家原创范⽂
了解详情
期刊发表服务，轻松见刊
提供论⽂发表指导服务，1~3⽉即可见刊
了解详情
被举报⽂档标题：Apple Pay安全吗?
被举报⽂档地址：。