趙鏑

A

pple Pay作為多數(shù)人并不能言明的移動支付硬件提供商而非我們熟悉的支付機(jī)構(gòu)，它的存在與之前的“支付寶”、“微信支付”在技術(shù)上怎樣區(qū)別？這種技術(shù)的安全性又有幾何？有沒有不確定的風(fēng)險？是不是我們真正追求的更理想的移動支付手段？

待澄清的“污點”

就在Apple Pay入駐中國不到3天的時間內(nèi)，很多用戶就已經(jīng)開始抱怨銀行卡綁定流程上的各種不方便。雖然一向以用戶體驗聞名，但蘋果公司對意想不到的“狂熱”還是準(zhǔn)備不足。于女士就告訴記者，在最開始兩天她根本無法有效地進(jìn)行銀行卡的綁定流程。

而一則女子信用卡綁定Apple Pay后1小時被盜刷7次的消息著實引起了不少用戶的警惕。最新的調(diào)查結(jié)果顯示，該新聞中的當(dāng)事者王女士在信用卡綁定Apple Pay的過程中幾次失敗，考慮到目前這一支付手段還不普及，她選用的是一張外幣信用卡。到最后也未能綁定成功的王女士的信用卡卻在一天后接連被消費了7筆，盜刷金額總計1862美元、人民幣1054元，合計約為人民幣13193元。

更令王女士著急的是銀行方面并不能給出明確說法。至記者截稿，銀行方面依然無法透露盜刷的手段和人員，唯一可以確定的消息是王女士的信用卡是在蘋果商店上被使用的。有分析稱從目前放出的細(xì)節(jié)看，并沒有直接的證據(jù)表明王女士的信用卡盜刷與她綁定Apple Pay失敗相關(guān)。

盡管如此，這樣疑似“污點”的消息讓剛剛綁定成功、但尚未使用Apple Pay的韓先生十分不安。而就在2月23日下午1點30分左右，他就收到了被消費16美元的短信通知。他告訴《經(jīng)濟(jì)》記者：“我用的是一張雙幣信用卡，被盜刷的貨幣又是美元，會不會與早上剛看到的王女士的情況類似？”確實，與王女士不同，韓先生是在綁定成功3天后遭遇了盜刷，金額和次數(shù)也偏少。但是類似16美元這樣額度的消費讓人很快就聯(lián)想到在蘋果商店的消費特征。韓先生也很懷疑自己是不是遭遇了同樣的入侵，而銀行也無法及時向韓先生提供明細(xì)和賬單。

韓先生很快就聯(lián)系銀行，將Apple Pay進(jìn)行了解綁，從應(yīng)用中刪除了之前綁定的信用卡。之所以這樣做，韓先生認(rèn)為在無法確定問題的情況下，謹(jǐn)慎的退避更能減少不必要損失，他對Apple Pay的信心也受到了部分影響。

雖然還沒有直接證據(jù)說明其漏洞，那么從技術(shù)的角度來看，Apple Pay安全性到底如何？

NFC+指紋的雙保險？

從技術(shù)角度來看，Apple Pay使用的是一種NFC技術(shù)（近場通信——Near Field Communication）和指紋加密組合而成的支付工具?！蛾P(guān)于Apple Pay的15個問題》作者、支付行業(yè)資深技術(shù)人員馮希順向記者介紹到：“Apple Pay結(jié)合了令牌化和NFC技術(shù)，使用者可以完成應(yīng)用內(nèi)和非接觸移動支付?！?/p>

簡單來講，NFC就是把我們的銀行卡做到手機(jī)里面了，跟傳統(tǒng)的用法相比，只是通過了非接觸的方式。

那么NFC這種傳輸方式可靠嗎？早已推出的這種近場通信技術(shù)，除了終端和體驗等因素，其潛在的風(fēng)險也阻礙了它的進(jìn)一步發(fā)展。北京豆莢科技有限公司聯(lián)合創(chuàng)始人張楚說：“原來單獨的NFC的安全性也曾受到過質(zhì)疑。焦點在于其非接觸的通訊方式。舉個極端的例子，如果有一個不法分子拿著一部改裝過的POS機(jī)偷偷地靠近你的手機(jī)，是有可能把用戶的錢扣掉的。嚴(yán)格來說這樣的可能性是存在的?！?/p>

正是基于此種考慮，蘋果公司的Apple Pay選擇了前文提到的指紋認(rèn)證這一保護(hù)措施。

北京交通大學(xué)計算機(jī)與信息技術(shù)學(xué)院信息安全系副教授張大偉說這正是Apple Pay一個有意思的環(huán)節(jié)，“即要求用戶必須在指紋認(rèn)證通過后，才可以‘拿出這張銀行卡。相當(dāng)于給銀行卡加了一個指紋認(rèn)證?！?/p>

張楚認(rèn)為指紋這種個人的生物特征認(rèn)證其他人難以輕易使用，他說道：“從目前來看，全球公認(rèn)的NFC與TEE（Trusted Execution Environment——可信執(zhí)行環(huán)境標(biāo)準(zhǔn)）下的指紋認(rèn)證的組合系統(tǒng)是比較安全的，也是目前比較好的選擇。”

馮希順表示：“綜合以上觀點，加上其支付流程處理是在SE中進(jìn)行，技術(shù)上講其安全程度基本等同于現(xiàn)有的基于芯片卡的支付?！?/p>

現(xiàn)實的風(fēng)險

盡管技術(shù)層面上得到廣泛的認(rèn)可，從現(xiàn)實的角度來看，Apple Pay有哪些潛在風(fēng)險？在我們享受支付寶和微信支付的便捷的同時，許多糾紛也在發(fā)生。就在線下每天不斷被掃的條碼盡管可用，但已經(jīng)被認(rèn)為存在很多問題。Apple Pay是否要重蹈覆轍？

張大偉為記者解析了此前銀聯(lián)對條碼支付的分析報告：“首先是支付工具的可見性，因為在銀行卡內(nèi)部做運算，傳統(tǒng)銀行卡的交易憑證你是看不見的。但是二維碼、條形碼這類支付，需要交易方向?qū)Ψ匠鍪径S碼圖片，于是支付過程就可見了。在相對時間之內(nèi)，誰掃都可以支付。其次是在訂單創(chuàng)建方面，憑借二維碼及部分商會信息創(chuàng)建線上訂單，而并非在線下創(chuàng)建訂單并交易。此訂單創(chuàng)建過程是完全由商家控制。第三，支付機(jī)構(gòu)和商業(yè)銀行之間擁有無密扣款通道，跳過輸入密碼等過程。由于訂單的創(chuàng)建可以修改，這些在一定程度上存在風(fēng)險?！?/p>

而傳統(tǒng)的交易方式是，訂單生成后不可修改。

一位銀行人士也向記者透露：“從現(xiàn)實的角度上講，Apple Pay的安全性，至少是等同于芯片卡，即平時的銀行卡支付的安全級別。因為在芯片卡支付上，人民銀行有非常嚴(yán)格的規(guī)范。包括如何對終端、發(fā)卡行以及卡片本身辨別真?zhèn)危乐菇灰灼墼p，都把控得很嚴(yán)?？梢哉f至少等同于銀行卡的支付認(rèn)證?！?/p>

顯然按此邏輯分析下去，Apple Pay的優(yōu)勢相對突出。但是將銀行卡和手機(jī)綁在一起的同時，會不會意味著手機(jī)需要更加地“誠實”？

終端安全的需要

韓先生這樣的用戶在疑惑，“機(jī)卡合一”真的就萬無一失了嗎？

“Apple Pay僅僅是一種支付手段，他的到來只能保證其本身的支付安全。但是原來信用卡固有的風(fēng)險是比較難防范的。比如說，信息已經(jīng)泄露?！睆埑嬖V記者。

對此張大偉表示贊同：“支付風(fēng)險不能說沒有。畢竟你將卡片綁定到手機(jī)上了，傳統(tǒng)來講，銀行卡的保護(hù)更好?，F(xiàn)在來看，你的手機(jī)就是你的卡。Apple Pay同樣也支持線上支付，表明也會受到木馬威脅?！?/p>

此外，終端的不可控性是潛在的炸彈。一位不愿意透露姓名的信息從業(yè)人員告訴記者，經(jīng)歷過蘋果手機(jī)存在“后門”的情況下，在對待其終端的態(tài)度上相關(guān)部門會更加謹(jǐn)慎。

從目前放出的信息看，銀聯(lián)確實在引入Apple Pay上做了不少努力：無論是將數(shù)據(jù)中心設(shè)在中國境內(nèi)，還是虛擬內(nèi)存全部刪除，定期接受監(jiān)管部門的檢查，都反映了把控程度的嚴(yán)格。

張楚表示：“監(jiān)管非常嚴(yán)格。即便是蘋果手機(jī)，里面的技術(shù)，包括指紋操作、安全芯片等，都是受到國內(nèi)的測試和監(jiān)管。銀聯(lián)內(nèi)部是經(jīng)過反復(fù)測試的?！?/p>

而在國內(nèi)暗潮涌動的移動市場爭奪中，類似小米、華為等廠商也在不斷發(fā)力。對近期發(fā)布的小米5手機(jī)，NFC的功能已經(jīng)內(nèi)置。加之手機(jī)廠商爭先申請第三方支付牌照，基于國內(nèi)龐大的使用人數(shù)，更開放的安卓系統(tǒng)也將迎來新的挑戰(zhàn)。

張大偉表示由于安卓系統(tǒng)的更開放，公開威脅角度會更多。如何將TEE技術(shù)發(fā)揮好，提高終端的安全性，是很重要的。

很多時候開放和安全是一對矛盾。對于很多即將擁有NFC移動支付工具的安卓系統(tǒng)手機(jī)，有沒有解決方法？

張楚說：“除了原有的安卓系統(tǒng)以外，還會存在一個TEE的操作系統(tǒng)，用來處理指紋、支付這些對安全比較敏感的東西。安全與開放在一定程度是矛盾的。目前的解決方案，在其系統(tǒng)上再使用進(jìn)行一個小操作系統(tǒng)。安全敏感度高的信息會被放在這個相對的封閉系統(tǒng)中處理，同時也會不影響它本身的開放性，這也是行業(yè)內(nèi)通用的解決辦法?！?/p>

張大偉說：“現(xiàn)在來看終端安全是第一位的。國內(nèi)也在慢慢發(fā)展這類技術(shù)，例如華為現(xiàn)在已經(jīng)有指紋認(rèn)證。但真正保證移動支付的安全，還需更多努力。”