智能制造網APP
智能制造網手機站
智能制造網小程序
智能制造網官微
智能制造網服務號
智能控制
機器人
儀器儀表
物聯網
3D打印
工業軟件
回放
品牌
其他品牌
【中國智能制造網 行業動態】無論是與磁條卡還是芯片卡相比,當下移動支付的主流方式——二維碼支付才是一種更為安全的選擇。
二維碼支付:移動支付時代更安全的選擇
眼下,站上移動支付風口的智能POS也站在了輿論的風口。
10月下旬,在2017安全極客大賽上,一支參賽團隊僅用25分鐘就利用某廠商的一款智能POS終端的漏洞,偷偷在智能POS中植入一個后門,替換關鍵應用軟件,繼而獲得所有在POS機上的刷卡信息,包括支付密碼。
據悉,這款智能POS被廣泛用于各種移動支付線下交易場景,2016年上市以來,累計出貨量已超150萬臺。隨后,智能POS廠商針對此事做出回應,稱盤古實驗室利用未公開的終端操作系統漏洞對POS設備進行模擬攻擊演示,而且此次受攻擊的產品固件為早期版本,現有固件版本的防護機制可以有效防護針對該漏洞的攻擊。
回應中“未公開的終端操作系統漏洞”,實際是將問題矛頭指向目前智能POS普遍使用的安卓系統。
據悉,在安卓操作系統下,所有源碼對外開源。因此,其漏洞更容易被發現,也更容易被攻擊。據統計,2016年上半年安卓新增手機支付病毒包高達32.33萬個,相較于2015年增長了986.14%。感染用戶數達1670.33萬,增長45.82%。由于智能POS使用了同樣的Android系統,這些病毒的大部分將適用于智能POS。
不過,銀聯在事后回應中指出:真實終端在收單機構和商戶的嚴格管理下,不會輕易被攻擊破解,風險可控。且該攻擊僅能夠獲取銀行卡磁條信息,不能復制芯片卡信息。根據人民銀行要求,2015年起已全面換發芯片卡,目前復合卡的磁條交易已全部關閉,使用芯片卡進行揮卡、插卡操作不會發生此類問題。
對此,一位不愿具名的業內安全專家則對記者表示,智能POS支持磁條卡、芯片卡、二維碼等多種支付方式。不過,無論是與磁條卡還是芯片卡相比,當下移動支付的主流方式——二維碼支付才是一種更為安全的選擇:“二維碼支付的安全性是通過“二維碼+動態口令”方案來保證的,這一方案為二維碼支付打造了一道安全可靠的屏障”。
據悉,二維碼是用計算機軟件編碼技術形成的平面幾何圖形,能夠在橫向和縱向兩個方位同時表達信息,可以存儲數字、漢字和圖片。本質上,二維碼是一種承載信息的載體,可以承載商戶信息、交易金額、支付憑證信息等。這就為二維碼應用在支付上提供了基礎。不過,要實現安全的二維碼支付還需要結合“動態口令”這一技術。動態口令是根據專門的算法生成一個不可預測的隨機數字組合,每個密碼只能使用一次,被廣泛運用在網銀、網游、電信運營商、電子商務等應用領域。
當二維碼與動態口令技術相結合時,二維碼支付的安全性就產生了質變。如果仔細觀察用于收付款的二維碼便會發現,這些二維碼在短時間內會自動失效,如果無法完成操作的話必須重新生成二維碼。正是因為二維碼支付這種“動態性”,二維碼信息被截取利用的風險就大大降低了。
當下,二維碼支付不乏擁躉者。過去數年里,以微信支付為代表的第三方支付機構大力推動二維碼支付普及,“掃一掃”逐漸成為一種大眾支付方式。在二維碼支付安全方面,微信支付也早有動作。今年4月,騰訊玄武實驗室就曾對國內二維碼技術公司的自助式掃碼支付設備“意銳小白盒”做出安全認證。
除了微信支付外,2016年12月,銀聯也推出《中國銀聯二維碼支付安全規范》,銀聯二維碼遵循現有銀行卡支付的四方模式,采用支付標記化(Token)技術以確保支付安全。
“在移動支付發展的大潮下,二維碼支付的安全性會不斷得到驗證及強化。二維碼支付技術為移動支付時代樹立了一道安全屏障”,上述業內安全專家表示:“智能POS作為移動支付時代的產物,也應該將掃碼支付作為主要的支付方式。”
(原標題:二維碼支付或成移動支付時代安全屏障)
浙公網安備 33010602000006號
智能制造網APP
智能制造網小程序
微信公眾號
