支付安全，一文读懂移动支付指纹与二维码安全问题

时间：2017-06-13

随着智能手机的大规模普及，手机支付也随之兴起并呈现逐年上升的趋势。有数据显示，截止去年年底，我国使用手机支付的用户规模增长迅速，已达到4.69亿人，年增长率为31.2%。可见，手机支付备受消费者青睐，并已逐渐形成新的消费潮流。

　　移动支付

　　近期发布的《2017中国手机安全风险报告》显示，随着手机越来越成为大众日常生活不可或缺的一部分，移动支付也迅速增长，大有一日千里之势。2016年中国移动支付总额约209万亿元，超过美国2016全年GDP。但是，如此普及、已经与大众衣食住行密不可分的移动支付，其实背后有着不容忽视的隐患。360集团助理总裁、手机卫士业务负责人姚彤指出，移动支付安全状况依然堪忧，93%的钓鱼网站、34.8%的恶意程序威胁个人财产，一不小心就可能被一条短信、一个链接搞得倾家荡产，手机或成财产“黑洞”。

　　微信支付，手机支付宝，APPLE PAY .... 手机支付的安全问题到底在哪里？

　　1. 指纹安全问题

　　随着指纹识别技术在手机上的广泛应用使之在展露头角展露头角并逐渐走向成熟化。事实上，指纹支付因其新颖的支付模式和便捷的操作流程，使之一经推出就受到了广泛关注，并成功吸引了大批的用户。一根手指即可完成整个支付流程，无需牢记密码，购物更加简捷快速。

　　在近期结束的台北电脑展上，Synaptics就进行了这样一项相关演示。一款看似寻常的指纹识别笔记本，在用户使用指纹识别后，不法分子就可捕获指纹传感器的原始数据，并将数据无线传输到另一台机器，借此就可以仿制机主的指纹，进而用仿制的假体指纹完成对机主电脑、手机等一系列采用同款指纹设备的破解，全程不到20分钟。

　　指纹安全

　　这背后究竟是怎么回事?其实一个指纹识别方案之所以可以称之为安全，需要在指纹获取、传输、存储等多个环节提供保障，任何一个环节的疏忽都会直接影响系统的安全性。我们常见的指纹识别主要聚焦在存储的安全性上，比如手机会调用独立的TrustZone执行确保安全，个别设备更是会调用独立的加密芯片来存储指纹数据，由此带来的安全的印象。

　　但事实是这种环境毕竟是软件层的隔离，目前的解决方案是使用专业的安全芯片来保持关键指纹数据，为SE。SE为Secure Element的缩写，是一种以芯片形式提供的安全组件。目前对安全组件标准定义的标准化组织，主要有EMV和Global platform。为防止外部恶意解析攻击，保护数据安全，在芯片中增加具有加密/解密的逻辑电路。其中，SE则扮演与TEE合作，强化系统安全的角色。系统厂商若使用SE, 则可以借助安全芯片发行方的专业性，来确保系统软硬件在非法攻击下的防护能力。

　　2.二维码安全问题

　　二维码产业正在中国创造一个又一个奇迹，最典型的，则是在二维码技术推动下，我国移动支付的交易额已经达美国市场的50倍！让中国市场成为移动互联时代名副其实的全球王者。

　　但二维码从技术上来讲比指纹的安全隐患更大，借助二维码进行传播的手机病毒、恶意程序也日益增加，由于二维码技术已经相对成熟，普通用户即可通过网上的二维码转换软件，任意合成二维码，并且从外观上并不能判断其安全性，这就更加方便了黑客针对二维码进行各种非法操作，用户一旦扫描了嵌入病毒链接的二维码，其个人信息、银行账号、密码等就可能完全暴露在黑客面前，酿成的后果可想而知。

　　当二维码扫码逻辑暴露后，扫码劫持变得非常简单，黑客可以在用户进行扫描付款的客户端中插入恶意代码，进行交易数据篡改，使本该流向商户的资金流向黑客。扫码攻击如下图所示：

　　二维码安全

　　目前，中国银联和各手机商也已经开始重视移动支付中的安全问题，特别是在芯片硬件上从根上开始规范安全指标，如在手机中加载专业的安全芯片方案，并需要通过国密认证。虽然会增加成本，但随着用户对安全的需求日益增加，相信具有安全组件的设备将会越来越流行。