安全专家们对Apple Pay反应积极,但在该移动支付系统在公司实验室之外进行测试之前,他们没有完全认可Apple Pay。
苹果在周二推出了这项服务发布两款新iphone这两款手机的屏幕都比之前的型号更大。今年10月,所有搭载最新操作系统iOS 8的手机都可以使用Apple Pay。
(现在,当iCloud通过网络访问时,苹果会向用户发送电子邮件]
“我对Apple Pay宣布的第一反应是充满希望的,”Trustwave的安全顾问克里斯托弗·卡里斯(Christopher Carlis)说。“他们似乎在尝试做很多可能非常有用的事情。”
Apple Pay可能会推动美国消费者接受移动支付,如果它能实现安全和易于使用的承诺。这项服务使用手机上的近场通信无线电天线向商店阅读器发送支付数据。
苹果用户可以选择使用他们在苹果iTunes文件中的信用卡,但实际数据不会离开公司的服务器。
相反,手机将使用一个表示实际信用卡号码的支付令牌。令牌存储在称为安全元素的特殊芯片上。
卡里斯说:“在它真正进入现实世界,落入有高度盗窃动机的安全研究人员和实际犯罪分子之手之前,我们不能确切地说这是不是一个比我们现在使用的更好的解决方案。”
Apple Pay使用了EMVCo设定的规范。EMVCo还管理着支付系统的测试流程,这些支付系统可以接受嵌入数据存储芯片的移动令牌或信用卡。
苹果表示,其支付系统将与大约22万家使用NFC阅读器的商家兼容。
此外,苹果正在与一些商家合作,包括布鲁明戴尔、梅西百货、麦当劳和全食超市,为它们的读者提供更深入的整合。开发者可以在移动应用程序中使用这项服务进行一键购买。
一个潜在的安全隐患是,苹果将允许人们在手机上添加另一张信用卡,这样人们就可以使用它,而不是使用公司档案中的那张信用卡。
要添加一张卡片,人们可以用自己的iPhone给它拍张照片,然后发送给苹果公司。安全研究人员肯定会研究这张照片是否被安全地存储在手机上,以及如何传输以防止攻击者通过公共Wi-Fi捕捉到这张照片。
“以某种可读的格式存储在你的手机上将是一个相当有价值的目标,”卡里斯说。
假设NFC技术得到了正确的应用,这种支付系统通常比现在美国大多数人使用的信用卡更安全。使用磁条卡存储卡数据的安全弱点在主要零售商的支付系统入侵中得到了突显,这些零售商包括内曼·马库斯集团(Neiman Marcus Group)、迈克尔斯(Michaels)、劳氏(Lowe's)、Supervalu、艾伯森(Albertsons)、塔吉特(Target),最近,家得宝(Home Depot)。
负责电压安全的产品管理副总裁马克·鲍尔(Mark Bower)说:“通过这一声明,苹果验证了以数据为中心的安全模型,并强调了支付领域需要从易受攻击的静态信用卡号码和磁条转移到受保护的数据版本——标记支付。”
不过,如果Apple Pay和其他类似服务被广泛采用,那么黑客可能会将注意力转移到通过电脑或移动设备接受客户信用卡号码的在线零售商身上。
“这可能会减少整体欺诈行为,但网络欺诈行为将会增加,”ThreatMetrix的首席产品官Alisdair Faulker说。“这是需要注意的事情。会有赢家和输家。”
这篇文章,“关于Apple Pay你应该问的安全问题”最初发表于方案 。
