Google Wallet移動(dòng)支付安全性常見問題解疑答惑
2011/05/30
當(dāng)?shù)貢r(shí)間上周五���,Google發(fā)布Google Wallet移動(dòng)支付計(jì)劃�����,今年夏季將通過安裝NFC芯片的Nexus S智能手機(jī)在舊金山和紐約試點(diǎn)��。該系統(tǒng)允許內(nèi)置NFC芯片的智能手機(jī)采用無線技術(shù)將交易數(shù)據(jù)短距離發(fā)送至零售店的專用NFC讀卡器上��。
這意味著人們?cè)谧x卡器前晃動(dòng)Android手機(jī)就能夠完成信用卡或借記卡刷卡及現(xiàn)金支付任務(wù)���。這類“電子錢包”將為消費(fèi)者帶來便捷,將錢和借記卡放在家中���。但其安全性究竟如何����,下面的常見問題解答將為人們進(jìn)行解疑答惑。
1���、Google Wallet工作流程是什么�?
用戶支付卡卡號(hào)和交易信息經(jīng)過加密后存儲(chǔ)在NXP提供的智能手機(jī)上的一顆防干擾芯片上����。Google將該芯片稱為Secure Element,要求消費(fèi)者輸入一個(gè)PIN碼(個(gè)人識(shí)別碼)后打開Google Wallet應(yīng)用進(jìn)行交易��。
Google在Google Wallet官方網(wǎng)站上稱:“Secure Element可被視為一臺(tái)獨(dú)立的計(jì)算機(jī)�,能夠運(yùn)行程序、存儲(chǔ)數(shù)據(jù)���。Secure Element獨(dú)立于用戶Android手機(jī)內(nèi)存��。Secure Element只允許可信任軟件訪問已存儲(chǔ)的支付憑證��。MasterCard PayPass的安全加密技術(shù)在用戶從手機(jī)向非接觸式讀卡器傳輸數(shù)據(jù)時(shí)為支付卡憑證提供保護(hù)���������!
2、如果我忘記了PIN碼該怎么辦���?
Google支付副總裁奧薩馬·貝迪爾(Osama Bedier)在回應(yīng)該問題的一封電子郵件中稱:“為安全起見���,用戶需要重新設(shè)置Wallet和信用卡��。我們正在積極設(shè)計(jì)一種更友好的用戶重新設(shè)置機(jī)制��,一旦投入使用后����,我們將披露更多有關(guān)該功能的信息���!
3�����、如果我的智能手機(jī)丟失該怎么辦��?
如果你的智能手機(jī)上了鎖�����,撿到者需要獲悉你的PIN碼后才能使用手機(jī)��,并需知道你的Google Wallet PIN碼后才能訪問你的財(cái)務(wù)數(shù)據(jù)�����。
貝迪爾說:“Wallet PIN對(duì)進(jìn)入Wallet Application有保護(hù)作用��。如果一位用戶多次輸入不正確PIN碼�����,Secure Element將禁用�,無法支付,只有在發(fā)卡行��、Trusted Service
Manager和用戶三方重新設(shè)置后才生效����。重新設(shè)置PIN碼時(shí),用戶需要重新設(shè)置捆綁Wallet的信用卡��,從而防止盜賊刷卡消費(fèi)�。此外����,Secure Element還禁止個(gè)體直接讀取該芯片上的任何信息�。Secure Element還采取大量安全措施,防止罪犯竊取內(nèi)存中包含的數(shù)據(jù)�����!
4���、罪犯能夠創(chuàng)建一個(gè)象ATM詐騙那樣的假冒NFC讀卡器用戶界面嗎?
貝迪爾說:“罪犯試圖詐騙NFC支付卡或手機(jī)的行為一直存在��,但Google Wallet提供了傳統(tǒng)塑料NFC支付卡所不具備的兩種對(duì)策�����。第一種對(duì)策為在啟用NFC天線之前�����,手機(jī)顯示屏需要開啟電源如照明��;第二種對(duì)策為用戶在向讀卡器發(fā)出憑證之前需要輸入Wallet PIN�����。這意味著用戶在發(fā)送支付憑證時(shí)必須首先確定是否支付����。”
貝迪爾強(qiáng)調(diào):“除了Google Wallet本身的安全功能外�,我們的合作伙伴還提供欺詐分析功能,幫助識(shí)別欺詐性交易�����,并在此類交易發(fā)生時(shí)加以阻止����。與當(dāng)前市場(chǎng)上廣泛推行的標(biāo)準(zhǔn)塑料信用卡相比,Google Wallet和我們合作伙伴提供的欺詐分析系統(tǒng)將為消費(fèi)者提供更好的保護(hù)”
5��、Google Wallet是否會(huì)像Wi-Fi網(wǎng)絡(luò)那樣存在數(shù)據(jù)盜竊或攔截式攻擊����?
鑒于交易發(fā)生時(shí)間短、手機(jī)和讀卡器之間距離小����,這類攻擊的可能性極小��。
貝迪爾說:“典型的攔截式攻擊非常困難�,因?yàn)镹FC無線電頻率范圍受限��。在發(fā)送支付憑證時(shí)����,Mastercard PayPass協(xié)議還提供了又一層保護(hù),PayPass協(xié)議控制移動(dòng)支付的交互作用�����。當(dāng)然�,我們一直在評(píng)估整個(gè)Wallet軟件生態(tài)系統(tǒng)的安全,不斷提高其安全性�������!
6��、如果我無意中通過網(wǎng)絡(luò)或惡意件附件將一款木馬病毒或惡意件下載至智能手機(jī)�,而病毒本身就是竊取信用卡數(shù)據(jù)、攻擊交易的話���,我該怎么辦�����?
貝迪爾說:“如果惡意件感染手機(jī)操作系統(tǒng)���,Secure Element的設(shè)計(jì)宗旨是保護(hù)憑證。Secure Element操作系統(tǒng)和Secure Element中包含的數(shù)據(jù)與手機(jī)操作系統(tǒng)隔離�。實(shí)際上,Secure Element硬件與手機(jī)上的其它存儲(chǔ)機(jī)制隔離�。另外,手機(jī)操作系統(tǒng)不具備讀取Secure Element上數(shù)據(jù)的功能�。”
一位安全專家對(duì)Secure Element在受惡意件感染的手機(jī)上的保護(hù)作用提出質(zhì)疑�����。
電子前沿基金會(huì)(Electronic Frontier Foundation)技術(shù)主管克里斯·帕爾默(Chris Palmer)曾是Google前高級(jí)軟件工程師�����,負(fù)責(zé)Android安全工作�����。帕爾默說:“如果壞人控制了用戶手機(jī),就能夠控制Secure Element����,信用卡信息存儲(chǔ)在安全芯片上也就失去意義。他們會(huì)在用戶發(fā)送數(shù)據(jù)時(shí)竊取用戶憑證����。”
一名NXP女發(fā)言人發(fā)表電子郵件聲明說:“Secure Element不會(huì)遭到惡意件感染��。用戶在訪問Secure Element時(shí)必須經(jīng)過認(rèn)證���,其架構(gòu)與手機(jī)系統(tǒng)的其它部分通過防火墻隔離���。該技術(shù)類似于電子護(hù)照采用的高安全解決方案����!
目前為止,惡意件感染似乎是最大擔(dān)憂���,人們非常容易受騙點(diǎn)擊惡意鏈接或打開惡意附件���。
大量設(shè)備未運(yùn)行最新軟件也是惡意件肆虐的原因之一。例如�����,研究人員本月初發(fā)現(xiàn)一個(gè)與Google Calendar和Contacts相關(guān)的Android缺陷���,能夠窺探Wi-Fi網(wǎng)絡(luò)上的數(shù)據(jù)����。受影響Android設(shè)備中���,99.7%運(yùn)行的是老版軟件����。Google迅速推出修復(fù)補(bǔ)丁�����,但該問題凸顯了移動(dòng)用戶受軟件更新及安全補(bǔ)丁發(fā)布日期的影響�。
帕爾默說:“大量手機(jī)未安裝最新版補(bǔ)丁。我們將面臨這種狀況——大量用戶在不安全的�、未安裝最新補(bǔ)丁的手機(jī)上運(yùn)行Google Wallet������!
人們對(duì)移動(dòng)設(shè)備的依賴性越大�����,犯罪分子將越把注意力集中到移動(dòng)設(shè)備上����。研究人員已經(jīng)在一款宏達(dá)電Android手機(jī)上發(fā)現(xiàn)一款僵尸病毒及以Symbian為攻擊目標(biāo)的Zeus銀行木馬病毒。
7�、但Google Wallet仍較我們目前攜帶的普通錢包安全,對(duì)嗎�����?
扒手可隨時(shí)竊取人們的錢包��,肆無忌憚地花費(fèi)現(xiàn)金或刷卡消費(fèi)���,無需認(rèn)證��;商店中的不法分子能夠在引起你懷疑之前輕松盜用信用卡號(hào)��。因此�,使用PIN碼上鎖���、對(duì)手機(jī)加密的電子錢包較攜帶普通錢包更安全�。
移動(dòng)安全廠商Lookout CEO約翰·郝林(John Hering)說:“即使你需要密切關(guān)注存儲(chǔ)在手機(jī)上的數(shù)據(jù)安全����,但其好處遠(yuǎn)超所面臨的風(fēng)險(xiǎn)���!
CNET科技資訊網(wǎng)
相關(guān)閱讀: