防护移动支付巨大风险的研究
2016-09-29王欢
王欢
互联网时代,移动支付给我们带来便捷生活的同时,各种安全问题也一直困扰着数以亿计的用户,虽然手机安全软件行业正在快速发展,但庞大的用户数量以及用户安全意识的相对薄弱,使得中国智能手机用户面临着严重的移动安全威胁,中国移动支付现状不容乐观。
移动支付的巨大风险
近年来,移动支付所导致的个人财产损失问题变得日益突出,引起社会各方的格外关注。有数据表明,2015年新增支付类病毒超过32.6万,全年被支付类病毒感染的用户高达2505万,约占中国手机网民的四成,平均每天就有81000手机用户面临支付隐患,遭受支付类病毒侵害。日益突出的移动支付风险形式主要有以下几类:
手机支付类病毒越来越高危化、智能化,黑客利用短信或其他方式植入盗号木马后,可以通过后台程序直接获取机主的支付账号和密码。这类木马病毒并不破坏手机系统,而是直接以窃取支付账号和口令为目的。木马运行时以看似正常的系统进程在后台运行,耗用网络流量也很小,不易被安全软件查杀。其识别体系尤其针对支付宝、微信支付、百度钱包以及各大银行的手机银行、网银等。国内各省地区,越来越多地涌出用户账号密码泄露或绑定银行卡后被盗刷和转账的案件。
“仿冒”的银行APP、电商、支付类APP散布在各个中小型的应用市场,一旦点击下载,就会触发进入黑客操控的支付流程。制作一个app以及架设一个后台服务器并不是很复杂的工作。对于别有用心的盗号黑客,模仿网上银行App、电商支付类App的图文样式,制作一个“一模一样”的伪App易如反掌。虽然这类伪App很难进入苹果的App store和正规的审核严密的安卓应用市场,但上传到一些中小型安卓应用市场还是比较容易的,甚至这类应用市场网站本身就可能是仿冒的。一旦用户轻信,下载安装了这类“伪支付App”,然后填入账号和密码,就立即会传回黑客部署的服务器,账户中的资金很快会被转移或提取。
黑客利用“撞库”的方法,获取用户支付账号和密码。许多人为了方便,防止账号密码遗忘,对很多应用使用同样的用户名和口令,比如论坛、微博、qq、网银、支付宝,都使用同样的一对用户名加口令。这样,一旦某个应用的服务器被“暴库”(用户信息库被内部网管或黑客直接取得),那么窃号者就可以用“撞库”的方法,用获得的用户名和口令去试网银和支付宝等移动支付应用。根据实际案件的调查统计,此类成功率非常之高。
由于调查难、取证难、破案率低,“网络支付”安全案件已经成为各地公安部门棘手的案件类别。其中,“移动支付”比例也随之逐年上升。移动支付面临着巨大风险,如何保障支付安全成为手机用户最为关心的话题。
单一身份认证的种类及缺陷
“身份认证”技术是信息安全理论技术的一个重要分支,是移动支付业务流程中最重要的环节之一。身份认证的目的是验证通讯双方的真实身份,防止非授权用户进入移动支付系统。在网络通信过程中,进行通信的各方都需要通过某种形式的身份认证机制来证明他们的身份。在移动支付领域,目前常用的身份认证包括:静态口令认证、动态口令认证、短信密码认证等。
其中,静态口令认证是指用户事先设置登陆的用户名和密码,电子商务系统或网银系统通过验证用户名和密码来确定用户身份,完成相应的支付和转账操作;动态口令认证是用户登陆密码按照一定的时间周期随机生成,通过动态令牌生成动态口令,每次不一样;短信密码认证是电子商务系统或网银系统实时发送一个短信密码到注册用户事先登记的手机号中,用户输入该短信密码作为自己的身份认证信息。
以上几种常用的“身份认证”都属于“单一身份认证”体系,任何一种单一身份认证体系都存在一定的安全隐患。即“口令决定了安全性”,一旦口令泄漏,用户即可被仿冒登陆:用户名、口令容易被猜测或遭到“撞库”;用户名、口令在传输过程中容易被截取;只能单向认证,即支付系统对用户进行认证,用户无法对支付系统进行认证识别其合法性。
“多重身份认证”保障安全
在“单一身份认证”的基础上,采用“多重身份认证”可以极大地提高移动网络支付的安全认证等级。按照“多重身份认证”的要求,在进行用户登录认证的过程中,须同时提交两个以上的身份认证信息,基本的有以下几类:
你知道什么?(比如密码);
你持有什么?(比如密码芯片卡)
你个人独有什么?(比如指纹)
在多重身份认证体系中,在对用户进行账号口令识别的同时,还要进行其他至少一层以上的独立认证,典型的应用如下:
带动态PIN生成器的硬件令牌。这种硬件令牌效果明显且容易扩展,且价格也便宜。移动支付机构在用户申请移动支付账户时就配备给用户,它可以被设定为一定频率自动更新动态PIN码。用户在进行移动支付前必须输入这个动态PIN码。
带智能芯片的加密TF卡。这种TF卡是在普通存储卡的基础上,集成了智能识别芯片,且局部存储区域是只读的,可保证TF卡的安全性。在用户的智能手机中插入此TF卡,移动支付app就能对手机进行基于硬件的身份识别。
生物识别系统。目前,技术已经较为成熟的生物识别系统包括:指纹识别芯片、视网膜识别系统、声音校验、电子签名识别、脸部识别系统。
基于智能手机上,摄像头、麦克风、划屏等功能都是现成集成的,所以从技术上和设备在手机等移动智能终端进行生物识别身份认证系统已经成熟。尽管各种生物识别系统还有一定的缺陷,但作为多重身份认证的辅助识别系统,还是较为有效的方式。
智能安全TF卡应用在身份认证中
大多数智能手机可以外接TF卡作为扩展应用使用。普通的TF卡仅作为存储扩展之用,但智能TF卡由于集成了CPU处理器、只读ROM存储单元,所以可以作为一种有效的身份认证识别系统,作为移动支付系统中,多重身份认证的有效手段。
目前,典型的“安全智能TF卡”基本功能包括:采用符合国密算法的32位信息安全芯片进行设计,支持国家商用密码管理局SM1、SM2、SM3、SM4、SM6以及国际通用的RSA、DES、AES加密算法。安全TF卡中集成了智能芯片,可以应对来自外部的恶意攻击,包括密码穷举攻击,光照、不稳定电压/频率、剥蚀芯片等物理攻击。
在移动支付应用系统开发中,可以用此类安全TF卡实现身份鉴别功能,作为“账户+口令”之外的多重身份识别模块。如:绑定支付账号,实现一卡一账号验证;账号、口令加密传输,密钥存储在安全TF卡内;移动支付中的数字签名及认证。
移动支付系统如果采用了安全TF卡作为第二重身份认证,首选可以保证用户身份验证的有效性,其次可以实现移动支付的手机终端与应用服务器之间通讯的数据包加密传输,即使数据在传输过程中被窃取,黑客也极难破解数据包中的内容,获得用户账号、口令、金额、账户等信息。
总而言之,在移动支付日益发展的今天,银行和其他金融机构需要采取行动,实现安全的多重身份认证系统,这对保护用户的账户安全是至关重要的。市面上有许多不同的方案可供选择,如上面提到的“智能安全TF卡”。即使普通的移动支付应用提供者也能够添加额外的认证因素,从而验证使用网银和其他移动支付应用的用户是否合法。如果用户的财产安全得不到保障,支付系统将面临因不遵守相关规定而被惩罚的风险,并需承担相应的赔偿责任,同时这还会使得消费者对他们的支付系统缺乏信心,从而会大大地影响移动支付的应用前景。
(作者单位:浙江省杭州市保密技术检查中心)