当主要的零售商在是否使用Apple Pay和CurrentC的问题上犹豫不决时,安全专家说,那些担心他们保护自己信用数据的人最好在他们真正被检查过安全漏洞之前,不要使用这两种支付系统。
SurfWatch Labs的首席架构师杰森•波兰奇(Jason Polancich)在谈到这些近场通信(NFC)系统时表示:“最重要的是,它们和你现在的借记卡差不多安全。”NFC可以让智能手机验证用户身份,并充当信用卡的角色。
+也在网络世界:足球竞猜app软件Apple Pay和CurrentC:零售商会选择哪个?;CurrentC已经黑了+
由于一些移动支付系统如Apple Pay是全新的——CurrentC甚至还没有全面部署——它们的安全性还没有经过攻击者的共同努力的测试。“罪犯还没有机会追上来,”波兰奇说。
但是BeyondTrust的CTO Marc Maiffret说,这是会发生的。“当然,苹果自己在确保Apple Pay安全上投入了很多精力,但正如我们在之前的技术发布中看到的那样,这并不意味着他们将找到一切。”
他举了苹果公司推出一项新技术——指纹识别——不久之后就被破解的例子。他说:“当然,苹果在这方面做了一些努力,但在几周或几个月的时间里,是安全社区证明了它的安全性。”
在…情况下CurrentC,攻击者已经偷了试验项目中一些参与者的电子邮件地址。
但至少在架构上,苹果支付和其他移动支付系统似乎比支付安全牌,瑞安·奥尔森说,主任单元42,帕洛阿尔托网络威胁情报团队。他说:“在美国,用于大多数店内支付的现有磁条系统比Apple Pay或谷歌钱包更容易被盗窃和复制。”“由于这两种系统都对每次支付使用一次性标识符,并对NFC通信进行加密,攻击者要想利用这些交易将会困难得多。”
Olson说,攻击者可以在很多地方探测弱点并加以利用。他说,举例来说,攻击者可能会攻击商店用来接受手机本身之外的移动支付的销售点系统。后台系统也可能被黑客攻击,但这一切都不容易。他表示:“与我们去年在新闻头条上看到的POS系统相比,这三个系统要破解起来更具挑战性。”
Rook security的安全操作中心经理汤姆?戈鲁普(Tom Gorup)说,攻击者可能会追踪iphone上用于身份验证的指纹读取器。所以如果手机被偷了,攻击者可以提取手机上的指纹来击败打印扫描仪,他说。他说:“只需用激光打印机、乳胶和一些木胶,就可以完成这种攻击。”
犯罪分子当然会尝试标准的攻击——缓冲区溢出、中间人、SQL注入——来看看它们是否会对系统的某些元素起作用,Gorup说。
攻击者本质上是商人,他们的努力将基于潜在的回报,Olson补充道。他说:“除非基于nfc的系统对大部分的店内支付负责,否则犯罪分子很可能会选择阻力最小的方式,并专注于旧技术。”
与此同时,波兰奇说,比起为信用卡和移动支付而烦恼,还有更有效、更不那么技术化的方法来保证你的信用购买安全。这些包括勤勉地监控账户和信用状况,更新密码,使用复杂的密码,以及找出中介如何存储和清除你的信用信息。“这需要做很多工作,”他说,但是,“时刻注意这一点可以让你避免多年的痛苦”,而这种痛苦可能会导致你的身份被盗。
Maiffret说,从安全的角度来看,让这些技术先成熟再使用可能是一条出路。他说:“在这个领域,给消费者最好的建议就是等一段时间,直到研究人员更彻底地把这项技术放在显微镜下观察。”