眼下,站上移动支付风口的智能POS也站在了舆论的风口。
10月下旬,在2017安全极客大赛上,一支参赛团队仅用25分钟就利用某厂商的一款智能POS终端的漏洞,偷偷在智能POS中植入一个后门,替换关键应用软件,继而获得所有在POS机上的刷卡信息,包括支付密码。
据悉,这款智能POS被广泛用于各种移动支付线下交易场景,2016年上市以来,累计出货量已超150万台。随后,智能POS厂商针对此事做出回应,称盘古实验室利用未公开的终端操作系统漏洞对POS设备进行模拟攻击演示,而且此次受攻击的产品固件为早期版本,现有固件版本的防护机制可以有效防护针对该漏洞的攻击。
回应中“未公开的终端操作系统漏洞”,实际是将问题矛头指向目前智能POS普遍使用的安卓系统。
据悉,在安卓操作系统下,所有源码对外开源。因此,其漏洞更容易被发现,也更容易被攻击。据统计,2016年上半年安卓新增手机支付病毒包高达32.33万个,相较于2015年增长了986.14%。感染用户数达1670.33万,增长45.82%。由于智能POS使用了同样的Android系统,这些病毒的大部分将适用于智能POS。
不过,银联在事后回应中指出:真实终端在收单机构和商户的严格管理下,不会轻易被攻击破解,风险可控。且该攻击仅能够获取银行卡磁条信息,不能复制芯片卡信息。根据人民银行要求,2015年起已全面换发芯片卡,目前复合卡的磁条交易已全部关闭,使用芯片卡进行挥卡、插卡操作不会发生此类问题。
对此,一位不愿具名的业内安全专家则对记者表示,智能POS支持磁条卡、芯片卡、二维码等多种支付方式。不过,无论是与磁条卡还是芯片卡相比,当下移动支付的主流方式——二维码支付才是一种更为安全的选择:“二维码支付的安全性是通过“二维码+动态口令”方案来保证的,这一方案为二维码支付打造了一道安全可靠的屏障”。
据悉,二维码是用计算机软件编码技术形成的平面几何图形,能够在横向和纵向两个方位同时表达信息,可以存储数字、汉字和图片。本质上,二维码是一种承载信息的载体,可以承载商户信息、交易金额、支付凭证信息等。这就为二维码应用在支付上提供了基础。不过,要实现安全的二维码支付还需要结合“动态口令”这一技术。动态口令是根据专门的算法生成一个不可预测的随机数字组合,每个密码只能使用一次,被广泛运用在网银、网游、电信运营商、电子商务等应用领域。
当二维码与动态口令技术相结合时,二维码支付的安全性就产生了质变。如果仔细观察用于收付款的二维码便会发现,这些二维码在短时间内会自动失效,如果无法完成操作的话必须重新生成二维码。正是因为二维码支付这种“动态性”,二维码信息被截取利用的风险就大大降低了。
当下,二维码支付不乏拥趸者。过去数年里,以微信支付为代表的第三方支付机构大力推动二维码支付普及,“扫一扫”逐渐成为一种大众支付方式。在二维码支付安全方面,微信支付也早有动作。今年4月,腾讯玄武实验室就曾对国内二维码技术公司的自助式扫码支付设备“意锐小白盒”做出安全认证。
除了微信支付外,2016年12月,银联也推出《中国银联二维码支付安全规范》,银联二维码遵循现有银行卡支付的四方模式,采用支付标记化(Token)技术以确保支付安全。
“在移动支付发展的大潮下,二维码支付的安全性会不断得到验证及强化。二维码支付技术为移动支付时代树立了一道安全屏障”,上述业内安全专家表示:“智能POS作为移动支付时代的产物,也应该将扫码支付作为最主要的支付方式。”
下一篇:阻碍物联网发展的主要因素—传感器成本上一篇:微信支付将可用于香港地铁购票
责任编辑:吴礼得
为您推荐
纽特钻宝卫星通信(香港)有限公司
知名企业
2007年香港将播地面数字电视
香港特区工商及科技局副秘书长黎芷娟表示,在2007-2012年的过渡期间,若市民选择看数字电视,必须安装机顶盒或者使用综合电视机。她指出,特区政府将于今年底前,以市场主导方式决定地面数字电视传送制式。若国家仍未公布内地底制式,便会采纳亚视及无线的建议,用国际广泛采用的欧洲DVB-T制式。
香港手机电视大战升温 电盈11万用户可使用
手机电视的广阔前景对中国香港地区的运营商产生了巨大诱惑,它们纷纷采用改进了的或者尚未形成标准的业务交付平台进入这一市场。在把备受用户喜爱的IPTV内容延展到移动领域时,中国香港的运营商电讯盈科现在已经可以提供实时的电视节目内容,它的方法是部署一个简化的、电讯盈科专有的规范版本,这一规范使得运营商在蜂窝网络平台上直播电视节目成为可能。电讯盈科采用的是CMB(cellmultimediabroadcast,信元多媒体广播)技术,该技术由华为公司开发。华为持有电讯盈科子公司Sunday的部分股份,并为该公司提供3G网络服务。采用CMB,电讯盈科能够为它的11万试商用用户提供24小时的财经频道节目和体