Google Wallet移動(dòng)支付安全性常見問(wèn)題解疑答惑
2011/05/30
當(dāng)?shù)貢r(shí)間上周五,Google發(fā)布Google Wallet移動(dòng)支付計(jì)劃,今年夏季將通過(guò)安裝NFC芯片的Nexus S智能手機(jī)在舊金山和紐約試點(diǎn)。該系統(tǒng)允許內(nèi)置NFC芯片的智能手機(jī)采用無(wú)線技術(shù)將交易數(shù)據(jù)短距離發(fā)送至零售店的專用NFC讀卡器上。
這意味著人們?cè)谧x卡器前晃動(dòng)Android手機(jī)就能夠完成信用卡或借記卡刷卡及現(xiàn)金支付任務(wù)。這類“電子錢包”將為消費(fèi)者帶來(lái)便捷,將錢和借記卡放在家中。但其安全性究竟如何,下面的常見問(wèn)題解答將為人們進(jìn)行解疑答惑。
1、Google Wallet工作流程是什么?
用戶支付卡卡號(hào)和交易信息經(jīng)過(guò)加密后存儲(chǔ)在NXP提供的智能手機(jī)上的一顆防干擾芯片上。Google將該芯片稱為Secure Element,要求消費(fèi)者輸入一個(gè)PIN碼(個(gè)人識(shí)別碼)后打開Google Wallet應(yīng)用進(jìn)行交易。
Google在Google Wallet官方網(wǎng)站上稱:“Secure Element可被視為一臺(tái)獨(dú)立的計(jì)算機(jī),能夠運(yùn)行程序、存儲(chǔ)數(shù)據(jù)。Secure Element獨(dú)立于用戶Android手機(jī)內(nèi)存。Secure Element只允許可信任軟件訪問(wèn)已存儲(chǔ)的支付憑證。MasterCard PayPass的安全加密技術(shù)在用戶從手機(jī)向非接觸式讀卡器傳輸數(shù)據(jù)時(shí)為支付卡憑證提供保護(hù)!
2、如果我忘記了PIN碼該怎么辦?
Google支付副總裁奧薩馬·貝迪爾(Osama Bedier)在回應(yīng)該問(wèn)題的一封電子郵件中稱:“為安全起見,用戶需要重新設(shè)置Wallet和信用卡。我們正在積極設(shè)計(jì)一種更友好的用戶重新設(shè)置機(jī)制,一旦投入使用后,我們將披露更多有關(guān)該功能的信息!
3、如果我的智能手機(jī)丟失該怎么辦?
如果你的智能手機(jī)上了鎖,撿到者需要獲悉你的PIN碼后才能使用手機(jī),并需知道你的Google Wallet PIN碼后才能訪問(wèn)你的財(cái)務(wù)數(shù)據(jù)。
貝迪爾說(shuō):“Wallet PIN對(duì)進(jìn)入Wallet Application有保護(hù)作用。如果一位用戶多次輸入不正確PIN碼,Secure Element將禁用,無(wú)法支付,只有在發(fā)卡行、Trusted Service
Manager和用戶三方重新設(shè)置后才生效。重新設(shè)置PIN碼時(shí),用戶需要重新設(shè)置捆綁Wallet的信用卡,從而防止盜賊刷卡消費(fèi)。此外,Secure Element還禁止個(gè)體直接讀取該芯片上的任何信息。Secure Element還采取大量安全措施,防止罪犯竊取內(nèi)存中包含的數(shù)據(jù)。”
4、罪犯能夠創(chuàng)建一個(gè)象ATM詐騙那樣的假冒NFC讀卡器用戶界面嗎?
貝迪爾說(shuō):“罪犯試圖詐騙NFC支付卡或手機(jī)的行為一直存在,但Google Wallet提供了傳統(tǒng)塑料NFC支付卡所不具備的兩種對(duì)策。第一種對(duì)策為在啟用NFC天線之前,手機(jī)顯示屏需要開啟電源如照明;第二種對(duì)策為用戶在向讀卡器發(fā)出憑證之前需要輸入Wallet PIN。這意味著用戶在發(fā)送支付憑證時(shí)必須首先確定是否支付。”
貝迪爾強(qiáng)調(diào):“除了Google Wallet本身的安全功能外,我們的合作伙伴還提供欺詐分析功能,幫助識(shí)別欺詐性交易,并在此類交易發(fā)生時(shí)加以阻止。與當(dāng)前市場(chǎng)上廣泛推行的標(biāo)準(zhǔn)塑料信用卡相比,Google Wallet和我們合作伙伴提供的欺詐分析系統(tǒng)將為消費(fèi)者提供更好的保護(hù)”
5、Google Wallet是否會(huì)像Wi-Fi網(wǎng)絡(luò)那樣存在數(shù)據(jù)盜竊或攔截式攻擊?
鑒于交易發(fā)生時(shí)間短、手機(jī)和讀卡器之間距離小,這類攻擊的可能性極小。
貝迪爾說(shuō):“典型的攔截式攻擊非常困難,因?yàn)镹FC無(wú)線電頻率范圍受限。在發(fā)送支付憑證時(shí),Mastercard PayPass協(xié)議還提供了又一層保護(hù),PayPass協(xié)議控制移動(dòng)支付的交互作用。當(dāng)然,我們一直在評(píng)估整個(gè)Wallet軟件生態(tài)系統(tǒng)的安全,不斷提高其安全性。”
6、如果我無(wú)意中通過(guò)網(wǎng)絡(luò)或惡意件附件將一款木馬病毒或惡意件下載至智能手機(jī),而病毒本身就是竊取信用卡數(shù)據(jù)、攻擊交易的話,我該怎么辦?
貝迪爾說(shuō):“如果惡意件感染手機(jī)操作系統(tǒng),Secure Element的設(shè)計(jì)宗旨是保護(hù)憑證。Secure Element操作系統(tǒng)和Secure Element中包含的數(shù)據(jù)與手機(jī)操作系統(tǒng)隔離。實(shí)際上,Secure Element硬件與手機(jī)上的其它存儲(chǔ)機(jī)制隔離。另外,手機(jī)操作系統(tǒng)不具備讀取Secure Element上數(shù)據(jù)的功能!
一位安全專家對(duì)Secure Element在受惡意件感染的手機(jī)上的保護(hù)作用提出質(zhì)疑。
電子前沿基金會(huì)(Electronic Frontier Foundation)技術(shù)主管克里斯·帕爾默(Chris Palmer)曾是Google前高級(jí)軟件工程師,負(fù)責(zé)Android安全工作。帕爾默說(shuō):“如果壞人控制了用戶手機(jī),就能夠控制Secure Element,信用卡信息存儲(chǔ)在安全芯片上也就失去意義。他們會(huì)在用戶發(fā)送數(shù)據(jù)時(shí)竊取用戶憑證。”
一名NXP女發(fā)言人發(fā)表電子郵件聲明說(shuō):“Secure Element不會(huì)遭到惡意件感染。用戶在訪問(wèn)Secure Element時(shí)必須經(jīng)過(guò)認(rèn)證,其架構(gòu)與手機(jī)系統(tǒng)的其它部分通過(guò)防火墻隔離。該技術(shù)類似于電子護(hù)照采用的高安全解決方案。”
目前為止,惡意件感染似乎是最大擔(dān)憂,人們非常容易受騙點(diǎn)擊惡意鏈接或打開惡意附件。
大量設(shè)備未運(yùn)行最新軟件也是惡意件肆虐的原因之一。例如,研究人員本月初發(fā)現(xiàn)一個(gè)與Google Calendar和Contacts相關(guān)的Android缺陷,能夠窺探Wi-Fi網(wǎng)絡(luò)上的數(shù)據(jù)。受影響Android設(shè)備中,99.7%運(yùn)行的是老版軟件。Google迅速推出修復(fù)補(bǔ)丁,但該問(wèn)題凸顯了移動(dòng)用戶受軟件更新及安全補(bǔ)丁發(fā)布日期的影響。
帕爾默說(shuō):“大量手機(jī)未安裝最新版補(bǔ)丁。我們將面臨這種狀況——大量用戶在不安全的、未安裝最新補(bǔ)丁的手機(jī)上運(yùn)行Google Wallet!
人們對(duì)移動(dòng)設(shè)備的依賴性越大,犯罪分子將越把注意力集中到移動(dòng)設(shè)備上。研究人員已經(jīng)在一款宏達(dá)電Android手機(jī)上發(fā)現(xiàn)一款僵尸病毒及以Symbian為攻擊目標(biāo)的Zeus銀行木馬病毒。
7、但Google Wallet仍較我們目前攜帶的普通錢包安全,對(duì)嗎?
扒手可隨時(shí)竊取人們的錢包,肆無(wú)忌憚地花費(fèi)現(xiàn)金或刷卡消費(fèi),無(wú)需認(rèn)證;商店中的不法分子能夠在引起你懷疑之前輕松盜用信用卡號(hào)。因此,使用PIN碼上鎖、對(duì)手機(jī)加密的電子錢包較攜帶普通錢包更安全。
移動(dòng)安全廠商Lookout CEO約翰·郝林(John Hering)說(shuō):“即使你需要密切關(guān)注存儲(chǔ)在手機(jī)上的數(shù)據(jù)安全,但其好處遠(yuǎn)超所面臨的風(fēng)險(xiǎn)!
CNET科技資訊網(wǎng)
相關(guān)閱讀: