金融科技发展与互联网支付安全
2020-01-08江苏省支付清算服务协会课题组
江苏省支付清算服务协会课题组
伴随着国际社会的不断发展,信息技术类改革的不断推进,国家加大市场化改革来激活金融业发展,不断开放金融业对民营企业准入门槛,鼓励民营经济的金融创新,推动互联网经济不断快速发展,促进社会信息逐步数字化发展趋势和电子商务共享经济发展。
高度信息化时代最棘手的问题,莫过于如何保障信息安全。除了考虑手机上重要数据外泄的问题之外,逐渐流行的个人手机设备也可能导致公司商业机密被窃取。
本文意在使用户清楚地认识个人信息的重要性,对其做好用户的个人信息保护工作起到一定的促进作用。同时,有助于相关法律法规的制定和完善,共同营造健康和谐的网络环境。
安全问题抑制互联网支付发展
基于技术发展和大数据,摆脱了传统经济领域的限制,金融活动由原始的市场交互转变为网络数据来往。基于云计算和搜索引擎等互联网工具的不断发展,甚至衍生出另一种全新的金融模式,互联网金融应运而生。在这一新生领域中,互联网与金融相结合,将互联网中 “开放、平等、协作、分享” 等精神不断融入金融行业内,形成了全新的生产经营模式。
互联网支付的发展瓶颈。对比传统金融行业,互联网金融具备一定的独特性,即采用互联网形式将传统金融业务透明化,降低交易的时间和精力成本,更便于操作。同时,还可以通过互联网平台实现融资、支付和交易等功能。现阶段已经出现了越来越多互联网支付平台,然而互联网平台建立在大数据基础上,致使人们在日常生活收到一些网络诈骗信息,加剧信息泄露的风险。此外,互联网平台易受到黑客的攻击,一些不法分子会通过网络手段盗取客户使用的账号和信息,从而进行诈骗,给客户的资金安全带来很大的威胁,甚至会导致投资亏损等情况出现,使客户对平台的信任度越来越低。
在这种安全问题频发的情况下,互联网支付的发展出现了很大的瓶颈,故现在使用互联网平台支付的用户大部分为敢于尝试新鲜事物的年轻人,而一些收入较高的中老年用户则会担心其安全隐患,不信任网络营销,对互联网支付的发展持观望态度。如何能够加强互联网支付安全监管,提升互联网支付的安全性具有重要的现实意义和理论意义。
国内外学者的研究。张成虎,李育林(2008)发现,国内外学术界缺乏对互联网支付产生机制、作用原理和经济效率等理论问题的研究,而这些研究却正是互联网支付能否长期健康发展和获得政策支持的重要理论基础。因此,两位学者运用现代信息经济学中的不对称信息理论分析互联网支付的产生机制。通过电子商务中的逆向选择模型、道德风险模型、信号传递模型和互联网支付的作用机理分析,从理论上奠定了互联网支付的必要性和重要性。
于卫国(2008)根据网络外部性、双边市场理论,分析了互联网支付平台的业务发展策略,从互联网支付的业务模式、产业价值链、竞争状况和市场概况等方面,对各家支付公司的特点进行比较分析,认为互联网支付平台的发展既要遵循双边平台的一般规律,又要找到细分市场、提供创新业务模式,避免与银行竞争,成为银行和商户之间不可或缺纽带的途径。
李育林(2008)运用新制度经济学中的交易费用理论分析互联网支付的效率问题,认为交易的生产成本和转移成本共同决定了一项交易的实现方式,通过建立企业与市场的生产成本和转移成本比较模型,以及互联网支付降低交易成本的动力模型,得出互联网支付有效地降低了交易费用,节约了社会资源这一结论。
Eric K. Clemons 和Nehal Madhani 基于经济信息系统,研究了如果第三方电子支付系统要求干预政府新政,解决由AT&T(美国电话电报公司)提出的“1913金斯博里承诺”,建立第一个私人监管垄断。谷歌的例子证明了创新电子商务模型很难适应现代管理框架,并且尽可能给出了满足扩展的监管政策的例子。
针对已有的研究,其最大的问题是很多并不是从经济学理论出发来研究的,比如互联网支付平台的安全监管问题,大多数研究是从法律的角度出发。而且,网上银行和互联网支付的竞合关系的研究还不满足系统性分析的特点,大多数是一些评论性的文章,缺少实证和具体研究。另外,很少有理论涉及互联网支付的定价方式研究。
常见的网络安全威胁
数据安全。在移动支付网络的使用生命周期中,数据经由移动设备、无线网络到达后台,再执行用户指令,完成用户动作,过程经过多重关系人,用户安全环环相扣。在用户传输、处理及储存过程中,如果有任一环节控管不当导致数据外泄,将严重影响使用者权益与服务提供者商誉。移动运营商有义务设计适当的保护机制,防范数据外泄,确保使用者数据及交易信息的安全。
如出现图1的问题,应用自动删除某些SD卡数据,导致防病毒软件的启动,该软件会提醒是否可以执行这些动作。
交易安全。移动支付方式具有交易速度快、便利性高、单笔金额低、安全防御复杂等特性,必须适时关注下列潜在风险:
一是外部反洗钱或反套现。由于交易对象来自四面八方,支付平台必须利用身份验证机制,过滤伪冒使用者,或是经由监测与分析,发现合法使用者的伪冒交易或信用卡套现等行为。这些机制包含交易纪录的留存与保护,以及运用巨量数据分析技术监测外部诈欺行为等。
二是内部反诈欺。企业内部人员基于管理需求,往往具备较大的存取权限,或是熟悉交易系统的控管漏洞。为了有效防止内部人员的诈欺或舞弊行为,企业除贯彻内部控制制度的相关要求外,也应建立完整的监测与应变机制,以维持消费者对于企业及产业的信赖度。
移动设备安全。移动平台虽有不同的安全机制,但并不代表移动应用就可以高枕无忧,没有其他安全风险。移动应用程序设计是否符合相关安全规范的要求、使用者身份确认与控管机制是否完備、移动设备可能遗失或遭窃等,这些都是影响移动支付安全的重要问题。目前,常见的安卓平台和iOS平台都存在一定的安全风险。
谷歌对于App 的审核主要是采取自动扫描的方式,分析潜在的安全威胁,已上架的App则可经由检举而下架。对开发人员而言,这种审核方式较为友善且宽松,然而恶意软件趁虚而入的机会也较高。因此,Play Store 的软件品质参差不齐,发现恶意程序的情况偶有发生。2019年一季度,360互联网安全中心共截获安卓平台新增恶意程序样本56.6万个。不过,只由谷歌Play Store下载软件的使用者不必太担心,大部分恶意程序会被及时删除,相对安全。即使使用者不小心点击含有恶意APK文件(安卓系统中 App安装档的副档名)的网址,恶意程序也会因系统未开放安装来路不明的应用程序而无法感染系统,确保使用者手机敏感数据的安全。另外,还需提高警觉、安装防毒软件及关闭自动安装应用程序功能。
常见的移动网络恶意程序技术。一些恶意短信或者微信信息会引诱受害者开启内含恶意程序的网络链接,自动下载安装恶意程序后,再将小额付款的验证码信息转接到诈骗集团,暗中进行交易。而超链接通常将导向攻击者所拥有的云端空间,并包含一个恶意的APK文件,一旦使用者点击下载安装该App,恶意程序就会于背景环境下运作,当攻击者使用受害手机号进行小额付款时,所传送至受害者手机中的短信认证码即会遭窃取,使其得以顺利完成小额付款交易。值得注意的是,即使使用者手机并未root(取得管理者权限),一旦点击超链接就会开始安装。
当前,互联网技术在不断地提升,SEO(搜索引擎优化)是其中较火爆的一种,黑客利用SEO将恶意网站排在搜索结果靠前的位置,当用户通过搜索引擎搜索对应的关键词后就有可能遭受此类攻击。另外,也有一些攻击者直接购买搜索推广链接来植入病毒,这主要是由于搜索引擎厂商审查不严格所造成的。
移动设备安全防护的措施
移动网络下个人信息需要多项安全保护措施,以下将依软件下载与使用、数据保护、连线功能设置及密码设置等类别,分别提出防护建议。其中,连线功能设置与密码设置系通过移动设备内置功能即可达成。
软件下载与使用。一是仅安装来自可信任来源的软件。在移动网络中下载软件前,除针对欲安装软件进行安全性的基本评估(检视要求权限、使用者评论等)外,应尽可能确保软件来自于合法的官方软件商店,如苹果App Store、谷歌 Play Store等,切勿从无法验证可靠性的来源下载安装软件,避免安装已遭植入非正当意图的软件,导致移动设备数据遭窃、被安装后门程序及对移动设备产生损害的风险。
安装来自第三方应用商店或来源不明的 App应谨慎为之,例如原须付费使用的App免费提供下载,外表看似相同,却无法确认是否埋藏恶意程序。谨慎选择欲下载安装的软件,否则轻则浪费金钱,买到无用软件,重则“引狼入室”,误装恶意程序。以近来新闻为例,谷歌 Play Store下载率第一,获得4.7颗星评等的付费防毒软件Virus Shield竟是诈欺软件,其宣称的防护功能均属无效,唯一用途只是将屏幕上的“×”符号改成“√”。
二是注意软件权限。移动网络上的软件在安装或在第一次使用时,大都会询问使用者是否可读取软件权限,部分软件会要求读取移动设备的地理位置 (GPS)、通讯录、通话次数及系统工具等敏感数据。
三是软件定期更新修补程序。移动网络上的软件(如浏览器)或操作系统,可能因漏洞而遭受黑客攻击,如浏览网页时被转址到恶意网站或“钓鱼网站”,造成敏感数据外泄或被植入恶意程序等安全问题。因此,移动设备上的软件或操作系统应定期自动或手动安装更新修补程序。
四是安装安全防护软件。为避免下载已知的恶意程序与浏览恶意网站,可通过安装安全防护软件,如防毒软件,以监测已知的恶意程序与恶意网站。企业可以利用移动设备管理系统(Mobile Device Management,MDM)管理移动设备。MDM主要目的在于限制移动设备可以从事的行为,甚至可远端变更与清除移动设备的内容,如机关单位可通过MDM发送短信,也可进行要求移动设备设置密码、限制密码长度、加密移动设备内的档案、使用软件权限等各类政策。
个人数据保护。一是数据备份与加密防护。将移动设备内的数据进行备份有利于移动设备在毁损或遗失时进行数据恢复。而使用移动设备原厂提供的云端备份服务时,需谨慎检视与选择欲备份的数据项目。无论使用官方厂商或第三方提供的移动设备云端服务,如iCloud、Dropbox、Google Drive、Microsoft SkyDrive等,仍应谨慎选择使用的数据项目与应用范围,以避免将手机敏感数据误送到云端。而对于储存于移动设备内的敏感数据,可通过安装加密软件予以防护。
二是远端定位与数据删除。移动设备遭窃或遗失时,笔者建议不要在移动设备中留存重要数据。
三是废弃移动设备的数据处理。移动设备于报废、贩卖、捐赠或回收等行为时,应完整清除其上所有数据,并恢复为移动设备的出厂设置。
移动系统安全机制。安卓系统在Linux核心上进一步强化了安全机制,层层安全管制措施构筑起“铜墙铁壁”。强化的安全机制包括应用程序UID数据隔离、虚拟机器沙盒保护、系统资源存取权限管制,以及组件间通讯授权标签管制。
一是对每一个应用程序指定一个唯一的UID(使用者识别码)。安卓系统建置在Linux核心上,并且将Linux核心以使用者为区别的UID数据隔离机制,扩充成对每一个应用程序指定一个唯一的 UID,来达成对手机上众多应用程序间彼此隔离的目的。应用程序基本上不能存取不同 UID 的其他应用程序的程序码及数据,除非应用程序开通了一个存取通道。
二是用虚拟机器提供沙盒保护。安卓系统上每一个应用程序被限制执行在个别的 DVM (Dalvik Virtual Machine,虚拟机器)环境内,如同沙盒般被安全地隔离保护。即使应用程序设计不够妥当,也不会危害到其它应用程序及系统。应用程序若要存取其它资源则需在拥有权限的情况下呼叫系统 API。
三是系统资源存取权限管制。系统资源存取权限管制是一个相当重要的安全课题,安卓系统要求应用程序要在安卓.Manifest.xml設定档内宣告需求的权限,并且在安装时获得使用者的同意,才能依照权限呼叫系统API存取对应资源。例如取得,安卓.permission.INTERNET权限,才能存取网际网络;取得安卓.permission.RECEIVE_BOOT_COMPLETED 权限,才能在手机开机时该应用程序即自动被启动执行。
四是组件间通讯授权标签管制。安卓系统把Linux核心的程序间通讯(IPC)进一步细分到组件间通讯(ICC),并且用授权标签来管制,未获授权者无法得到组件服务。例如,某应用程序的内容提供者组件,它开放数据库存取服 务 并 且 规 定 授 权 标 签 为 “com.act.mab.db”,则 其 它 应 用 程 式 必 须 设 定 正 确 的 URI(content://com.act.mab.db)之后,才能经由组件间通讯管道来存取该数据库。
信息加解密方法。基于操作系统信息安全应用程序大体分为信息加密过程和信息解密过程。应用可以从文本文件或者短消息中读取数据信息,将其加密在用户指定的图像之中,并创建对应的书签信息。当使用信息解密功能时,从图像中将加密的数据解密出来,并根据解密的信息,创建文本文件或者是短消息,以实现所需功能(图2)。
信息加密过程的主要工作包括:信息选择、图像载体选择、加密算法执行、判断结束并标记、书签信息创建或更新(图3)。
信息解密过程的主要工作包括: 图像载体选择、信息选择、解密算法执行、判断结束并标记、书签信息更新(图4)。
一是图案锁定原理及解密。在安卓设备上,用户可以通过设置锁定图案作为密码对设备用户界面进行锁定。锁定界面有9点组成,锁定图案需满足三个条件:至少3点、最多9点、无重复。这种解锁方式在安卓存储时使用的是明文转换后的散列方式存储。安卓设备图案锁定的加密存储过程:图案输入—>转换明文—>SHA-1散列—>存储。针对图形锁定,可以采用预计算密码表方式进行暴力破解,在得到图案存储文件gesture.key的基础上(需要具有root权限),使用月50MB的密码表在1秒内即可完成所有图形锁定的破解。
二是字符密码加密机破解。除了采用图形设定设备之外,安卓还允许用户使用4~16位的数字PIN码或者文本字符作为锁定密码。每一位密码范围为94字符,包括52个大小写英文字母、10个数字、30個除空格外的标点符号,在这种要求下输入的字符,加入Salt后进行SHA-1和MD5散列,之后,将散列结果存储于~/data/system/password.key文件中。安卓设备字符密码加密过程:字符输入—>加入Salt—>SHA-1+MD5散列—>合并散列存储。
由于在SHA-1前先被加入了Salt值,所以暴力破解或预计算密码表的方式需提供Salt值。在安卓操作系统中,字符型密码使用的Salt值存储于手机设备的settings.db数据库中,该文件位于~/data/data/com.安卓.providers.settings/,该数据库中的secure表,存储了字符密码加密使用的Salt。同时,解密还需password.key文件中所包含的散列值,该文件存储于~/data/system/password.key。在该key文件中,包含了72字节的16进制字符串。
三是存储加密解密。除了屏幕锁定,新版安卓操作系统还支持安卓设备内置存储空间进行加密,这种加密方式基于dmcrypt,运行于block device层,这样的加密默认只能对ext4分区进行,所以在安卓3.0及以上的版本中才提供这种功能,存储加密要求首先设置至少6位且包含至少1位数字的字符型密码。
在安卓存储加密中,主密钥采用AES 128位加密,主密钥在加入Salt值之后被存储于分区尾部或独立的文件中。
存储解密时,首先需要将安卓设备进行完整的物理转储(可采用JTAG等方式),之后从分区尾部查找Salt值及加密后的主密钥,使用带Salt的PBKDF暴力破解的方式对密码进行测试,使用得出的密钥与SHA-256计算后的VI对主密钥进行解密,之后可使用真正主密钥对完整镜像进行解密。
其他措施。一是避免修改或破解移动设备的安全措施。移动设备会内建一些保护措施以加强其安全性,例如不能安装非官方App等,使用者可通过破解方式取得移动设备上的最高权限,以完全掌控移动设备功能。但此行为将因内建保护措施被规避,造成移动设备面临安全上的威胁。因此,建议不要破解移动设备的安全措施。可被 Root (安卓平台) 或 Jailbreak(iOS 平台,简称 JB) 破解的移动设备即表示系统存在已知的安全漏洞,完成破解后,可取得系统最高权限,移动设备便处于未受保护的状态,伴随而来的可能是恶意程序的“恣意妄为”。
二是网络使用行为。移动设备逐渐成为黑客攻击的主要目标之一,建议不要利用移动设备进行重要交易,倘若无法避免,则应通过平时收藏的书签或知名搜寻引擎,直接点击进入官网。并且,不要相信不明网站、不明短信及社群网站所分享的链接,甚至广告链接都谨慎点击,以降低误触零时差攻击与恶意Java Script 攻击的风险。此外,应尽量避免通过移动设备上的通讯软件讨论重要信息或交换档案,并且避免加入来历不明的联络人,以免遭受社交工程诈骗上当的风险。
三是安全问题征兆。以下5个征兆,可能是在提醒你该检视移动设备(一般为手机)的安全情形:
其一,电池寿命变短。安全威胁会让移动设备电池比平常更加耗电,通常的原因是不断显现的恶意广告会让电池过度耗电。不管是隐藏在执行程序中或是伪装成普通App的恶意软件,异常的电池表现或许提示移动设备存在有安全威胁。
其二,通话经常不寻常中断。安全威胁有可能影响移动设备的通话功能,会造成不寻常的通话中断。用户可以先打电话给电信商,确定是否为线路问题,如果不是则可能被窃听通话,或遭遇其它可疑安全威胁。
其三,电信费用异常。安全威胁可能让受感染移动设备自动发送短信,用户如果觉得账单异常,应确认移动设备是否已存在安全威胁。
其四,自动下载软件。安全威胁会在用户不知情的状况下,偷偷下载软件,检查上网费用账单就可知道是否存在异常;另外,可以设置下载限额,避免因为安全威胁过度下载软件而导致高额的通讯连网费用。
其五,移动设备效能变差。安全威胁会企图通过移动设备读、写或散播信息,因此极可能导致严重的效能问题。试图想像,每天数次重新启动安全威胁,会占去过多的效能,因此当发现移动设备效能变差时,可能是安全威胁已经存在的线索之一。此时,可借由检查 RAM使用量或CPU负载量,得知安全威胁是否存在。
就如同电脑系统,任何有效的技术防御措施仍须搭配可行的管理规定并落实执行,才能减少安全威胁的持续存在,甚或防止对外散布与启动。但同时,任何的管理措施都会带来不便,在安全威胁的打扰及清静的移动设备使用环境两者中应选择后者。
总结针对前述移动设备完全常见对策,对应的预防或修正措施建议(表1)。
综上所述,随着移动网络的蓬勃发展,移动应用方兴未艾。相较于传统的网络使用方式,移动网络无疑更加快速且便利。如何在提供便利快捷服务的同时,又兼顾安全,降低新兴科技带来的风险,建立适宜的移动交易环境,是移动网络必须持续面对与克服的管理挑战。对企业与使用者而言,移动网络都是一种高成本效益却极为便利的应用服务。不论移动产业如何发展或变化,提供既便利又安全的使用环境永远是企业的首要目标。针对移动网络产业未来可能面临的各种挑战,企业必须在便利与安全之间权衡取舍,不论抉择为何,务须建立完善的风险管理机制,持续强化网络环境的安全防护。这不仅是赢取使用者信任与忠诚的最大利器,也是胜出移动网络的成功关键。
执笔人:陈晨(供职于杭州银行南京分行)
责任编辑:葛辛晶