浅谈移动支付的安全问题


发布人:admin分类:网络安全浏览量:23发布时间:2017-12-12

移动支付技术真的很安全么?像Google、Apple和Venmo这样的公司,往往都向客户保证“你们的数据绝对是安全完整的”。然而客户们似乎并不买单。

谈谈移动支付技术

TechTarget报道,美国人在过去的三个月里,只有约3%的用户使用过自己的手机钱包。然而,令开发商稍稍欣慰的是,约57%的客户表示他们还是对这些支付技术有兴趣的。那么这些客户是因为太过谨慎才没有过多使用移动支付,还是移动支付尚未进入主流市场当中呢?

福布斯最近的报道,移动支付过程中,其中部分层面是有一定安全保障的。比如,近距离无线通信技术(NFC)的普及,这就意味着我们可以淘汰实体信用卡。事实上,黑客仍然可以通过移动支付的缺陷,获得用户的数据。移动支付的成功与否,取决于供应商所提供产品的安全性。下面我们就来谈论一些知名的移动支付产品吧。

苹果支付

苹果支付可以用于iPhone 6和iPhone 6 plus,它使用了token的手法来保护用户数据。首先,用户会发送加密的支付卡数据给苹果服务端;然后苹果服务端会解密数据,确认卡的支付网络环境;接着,苹果服务端将数据带上与该支付网络环境匹配的token,再次加密;最后,该支付网络环境会生成一个带设备标志的序列号码,加密后发送给苹果服务端。

设备制造商不会保留这些序列号码,这些数据会添加进iPhone的安全元件芯片里。这些数据与IOS系统本身进行了隔离,且不会被发送到苹果服务端,或者被备份在云上。因此,这是一种相当安全的支付方式,因为并没有真正的信用卡数据通过NFC传输,黑客最多窃取到一个序列号码。

然而,苹果支付也不是完全没有问题的。在ZDNet上最近的一篇报道中,苹果支付和银行之间存在认证的缺陷。黑客可以通过从被黑的网上商店收集到的信用卡信息,同被盗的信用卡之间联系起来,从而进行盗刷行为。虽然这并不是一个普遍的现象,但它却表明了一点,我们的支付技术并不完善。

Google钱包

在2011年,Google推出了类似的产品–Google钱包。据TechRepublic(ZDNet的技术社区)报道,Google钱包使用方法很简单。用户只需要下载该App,创建一个PIN码,将信用卡绑定在上面就可以使用了。与苹果支付不同的是,Google钱包有着另一套数据存储方式。Google钱包将信用卡信息存储在安全服务器上,并使用安全套接字层加密。真正的信用卡数据也不会出现在App里,零售商也不能读取。不过,它并没有使用token的辅助手段。

然而,考虑到用户不喜欢Google钱包作为直接支付手段的,Google还为客户提供了Google钱包支付卡。这种卡是绑定了Google钱包App的一种实体卡。用户可以通过Gmail或者Google钱包,将信用卡里面的钱打到这种卡里,我们可以把它看做是一种移动支付的混种,它并不完全依赖Google钱包App。

Venmo

Venmo是移动支付领域的另一个巨头,与前面两种支付技术不同的是,Venmo并不用于直接向商店支付,而是专门于转账。用户下载了App后,可以建立资金“源”,也可以说是信用卡或者美国某银行账户在Venmo的中转站。用户可以给其他Venmo用户,或者是向提供了电话号码和email地址信息的其他非Venmo用户进行转账。

尽管该App简单易用,受到用户的亲睐,一些安全问题随着而来。比如Slate报道:某Venmo用户被黑掉账户后,成为了欺诈交易的受害者,尽管账户每周只能转2999美元的限额。

该名用户称,他并没有注意到另一个邮箱地址和移动设备,偷偷绑定了他的账户,然后就发生了一系列不愉快的事情。

Venmo现在已经升级了安全措施,其中包括多重认证。单单是通过手机或者浏览器的发出的登录请求,是不能登入用户账户的,Venmo公司会发送一个六位的短信验证码给绑定的手机号。理论上这是比较安全的,因为黑客不仅需要用户的认证信息,还需要得到账户绑定的手机设备。

仍然离不开传统卡技术

移动支付技术安全吗?诚然,许多公司正致力于在交易过程中实现加密、token化以及添加其他身份认证手段。但是,毕竟没有万无一失的做法。

网络支付技术正炙手可热,但是它们缺乏历史经验的积淀,因此可能会存在许多未知的脆弱性。大家都在倡导抛弃传统支付卡,使用移动支付。但是你需要明白一点,任何外放的数据都可能被盗!

*参考来源securityintelligence,由FreeBuf小编dawner翻译整理,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21471611(PV) 页面执行时间:94.896(MS)
  • xml
  • 网站地图