轉(zhuǎn)眼又是一年終，2019年已經(jīng)來臨?；厥?018年，安全毫無疑問的是金融支付行業(yè)高頻詞匯，這一年發(fā)生了太多的事情。本期年度盤點(diǎn)移動(dòng)支付網(wǎng)將回顧2018年金融支付安全領(lǐng)域的大事件。

1.手機(jī)指紋解鎖被爆漏洞

2018年1月，國(guó)家工信部、公安部、中國(guó)人民銀行、網(wǎng)信辦接到舉報(bào)，手機(jī)指紋解鎖存在巨大漏洞，用透明膠帶+導(dǎo)電筆可以破解指紋解鎖并用于支付，利用該漏洞任何人都可以解開手機(jī)，甚至使用橘子皮都可以解開手機(jī)。

指紋識(shí)別由于其便利性和安全性，經(jīng)過幾年的發(fā)展，在中國(guó)已經(jīng)全面普及，雖然專家清楚的說明破解指紋解鎖需要特殊處理，但是依舊造成了極大地影響，工信部、質(zhì)檢總局等相關(guān)部門也介入調(diào)查。

2.支付寶、微信出現(xiàn)克隆漏洞

2018年年初，支付寶、微信相繼被爆出存在克隆漏洞，攻擊者可以使用一條鏈接或者消息對(duì)應(yīng)用程序進(jìn)行克隆，可以獲得用戶所有信息，并且可以用于支付。

有數(shù)據(jù)顯示，支付寶用戶全球市場(chǎng)活躍用戶超8億，微信全球市場(chǎng)活躍用戶10億，在中國(guó)，支付寶和微信更是移動(dòng)支付兩大巨頭。此次克隆事件涉及幾乎所有安卓手機(jī)，影響范圍之廣、潛在危險(xiǎn)之大前所未有。

3.短信嗅探盜取驗(yàn)證碼

2018年8月，豆瓣網(wǎng)友“獨(dú)釣寒江雪”發(fā)表文章《這下一無所有了》，講述了自己的支付寶、京東及關(guān)聯(lián)銀行卡被盜刷的全過程，隨后諸多媒體對(duì)這種盜刷的手法：“短信嗅探+中間人攻擊”，進(jìn)行了解讀。

短信嗅探技術(shù)是在不影響用戶正常接收短信的情況下，通過植入手機(jī)木馬或者設(shè)立偽基站的方式，獲取用戶的短信內(nèi)容，主要目標(biāo)是來自銀行、第三方支付平臺(tái)和移動(dòng)運(yùn)營(yíng)商的短信驗(yàn)證碼。

在支付場(chǎng)景下，身份認(rèn)證一般只含有姓名、身份證號(hào)、銀行卡號(hào)、手機(jī)號(hào)、驗(yàn)證碼中的幾種，而這些關(guān)鍵信息通過短信嗅探技術(shù)都可以盜取。

這次事件的發(fā)生不僅僅暴露出2G網(wǎng)絡(luò)的風(fēng)險(xiǎn)，也暴露出傳統(tǒng)身份認(rèn)證方式短板，專家指出包括銀行和第三方支付平臺(tái)在內(nèi)的金融機(jī)構(gòu)應(yīng)推出更為完善可靠的校驗(yàn)手段。

4.首個(gè)人臉識(shí)別安全標(biāo)準(zhǔn)正式發(fā)布

2018年9月，泰爾終端實(shí)驗(yàn)室牽頭起草的《移動(dòng)終端基于TEE的人臉識(shí)別安全評(píng)估方法》在電信終端產(chǎn)業(yè)協(xié)會(huì)（簡(jiǎn)稱TAF）正式發(fā)布。該標(biāo)準(zhǔn)作為國(guó)內(nèi)首個(gè)人臉識(shí)別安全標(biāo)準(zhǔn)，其內(nèi)容覆蓋了人臉采集、存儲(chǔ)、比對(duì)等過程中的安全環(huán)境要求及比對(duì)指標(biāo)。

人臉識(shí)別無疑是2018年最火熱的生物識(shí)別技術(shù)，而TEE技術(shù)則是現(xiàn)在移動(dòng)端安全最好的選擇，隨著人臉識(shí)別技術(shù)的不斷普及，如何保證移動(dòng)端人臉識(shí)別的數(shù)據(jù)安全成為了一個(gè)問題。

基于TEE的人臉識(shí)別安全標(biāo)準(zhǔn)的提出雖然只是一個(gè)行業(yè)標(biāo)準(zhǔn)，但是對(duì)人臉識(shí)別技術(shù)的發(fā)展、普及提供了安全保障，解決了人臉識(shí)別技術(shù)安全無法保證的難題。

5.央行發(fā)布146號(hào)文，排查支付安全風(fēng)險(xiǎn)

2018年9月，中國(guó)人民銀行辦公廳發(fā)布《關(guān)于開展支付安全風(fēng)險(xiǎn)專項(xiàng)排查工作的通知》（銀辦發(fā)〔2018〕146號(hào)），通知稱為進(jìn)一步加強(qiáng)支付領(lǐng)域網(wǎng)絡(luò)與信息安全管理，有效防范支付風(fēng)險(xiǎn)，切實(shí)保障消費(fèi)者合法權(quán)益，人民銀行決定開展支付安全風(fēng)險(xiǎn)專項(xiàng)排查工作。

此次146號(hào)文中提出的排查內(nèi)容中增加了對(duì)客戶端應(yīng)用軟件的安全要求。眾所周知，移動(dòng)支付高速發(fā)展的同時(shí)也伴隨著諸多的安全隱患，而客戶端應(yīng)用軟件作為從業(yè)機(jī)構(gòu)連接用戶最直接的工具，也是出現(xiàn)安全問題頻次最高的地方。

此次央行增加對(duì)客戶端應(yīng)用軟件的監(jiān)管表明了央行對(duì)于支付安全的重視，可以預(yù)見未來關(guān)于支付安全的監(jiān)管將會(huì)越來越嚴(yán)格，數(shù)據(jù)安全與交易安全也將成為從業(yè)機(jī)構(gòu)今后重點(diǎn)加強(qiáng)的方向。

6.Apple ID被盜致使支付寶被盜刷

2018年10初，全國(guó)多地發(fā)生蘋果用戶支付寶賬戶被盜刷的事件，損失從幾百元到上萬(wàn)元不等，后經(jīng)調(diào)查是因?yàn)椴糠痔O果用戶Apple ID被盜，被盜賬戶如果開通了免密支付就會(huì)被不法分子利用造成財(cái)務(wù)損失。

Apple ID是蘋果公司為其產(chǎn)品所引入的認(rèn)證系統(tǒng)，通過Apple ID用戶可以在任意一個(gè)設(shè)備上執(zhí)行與Apple有關(guān)的所有操作，由此可見Apple ID的重要性。從今年2月28日起，中國(guó)大陸的蘋果云服務(wù)交由云上貴州公司負(fù)責(zé)運(yùn)營(yíng)，本次賬戶被盜也被懷疑是內(nèi)鬼所為。

在此之前，蘋果賬戶并未出現(xiàn)過被盜情況，上次出現(xiàn)重大安全問題是在2013年，有人發(fā)現(xiàn)只要擁有了用戶的Apple ID郵箱以及生日信息，便可以更改Apple ID以及iCloud的密碼。

7.聚合支付安全標(biāo)準(zhǔn)即將發(fā)布

2018年10月，全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布138號(hào)文，即“關(guān)于審查《聚合支付安全技術(shù)規(guī)范》（送審稿）的通知”，通知表明該標(biāo)準(zhǔn)已形成送審稿，進(jìn)入委員單位電子投票階段。

聚合支付作為對(duì)第三方支付平臺(tái)服務(wù)的拓展，介于第三方支付平臺(tái)和商戶之間，通過聚合各種第三方平臺(tái)的支付方式，通過統(tǒng)一的軟件系統(tǒng)（SDK、API接口）或者硬件平臺(tái)（POS）來承載。

聚合支付一直存在種種問題，涉嫌存在無支付牌照和異地虛擬交易套現(xiàn)，涉嫌以傳銷的方式發(fā)展會(huì)員，通過刷卡層層獲利等等。今年上半年央行發(fā)布了217號(hào)文，開始了無證經(jīng)營(yíng)支付業(yè)務(wù)的整治工作，聚合支付行業(yè)開始了震蕩、變革。本次聚合支付安全標(biāo)準(zhǔn)的制定和推出將加劇產(chǎn)業(yè)優(yōu)勝劣汰，對(duì)支付行業(yè)的分工更加清晰，使產(chǎn)業(yè)趨于合規(guī)，為未來的發(fā)展打下了良好基礎(chǔ)。

8.央行頒布金融行業(yè)聲紋識(shí)別標(biāo)準(zhǔn)

2018年10月，《移動(dòng)金融基于聲紋識(shí)別的安全應(yīng)用技術(shù)規(guī)范》由中國(guó)人民銀行正式發(fā)布。該標(biāo)準(zhǔn)規(guī)定了移動(dòng)金融服務(wù)場(chǎng)景中基于聲紋識(shí)別的安全應(yīng)用的功能要求、性能要求和安全要求等內(nèi)容，適用于移動(dòng)金融服務(wù)基于聲紋識(shí)別的設(shè)計(jì)、開發(fā)、檢測(cè)、應(yīng)用及風(fēng)控。

聲紋識(shí)別技術(shù)具有易采集、非接觸、可靠性高等特點(diǎn)，由于聲音信號(hào)中含有語(yǔ)言信息、副語(yǔ)言信息和非語(yǔ)言信息，這種“形簡(jiǎn)意豐”的特點(diǎn)還有利于識(shí)別用戶真實(shí)意圖，具有行為可追溯性。

該規(guī)范是央行頒布的我國(guó)金融行業(yè)第一個(gè)生物識(shí)別技術(shù)標(biāo)準(zhǔn)，將安全性和個(gè)人隱私保護(hù)擺到了突出位置，該標(biāo)準(zhǔn)的推出意味著以聲紋識(shí)別為代表的生物識(shí)別技術(shù)進(jìn)入了新的歷史發(fā)展階段，也為后續(xù)更加廣闊的市場(chǎng)應(yīng)用拉開了大幕。

9.PCI DSS指數(shù)6年來首跌

2018年11月，安全顧問Verizon支付安全報(bào)告指出，支付卡安全PCI DSS指數(shù)6年來首次下跌，2017年為52.5%，按年下跌2.9個(gè)百分點(diǎn)。

PCI DSS對(duì)于所有涉及信用卡信息機(jī)構(gòu)的安全方面都作出標(biāo)準(zhǔn)的要求，其中包括安全管理、策略、過程、網(wǎng)絡(luò)體系結(jié)構(gòu)、軟件設(shè)計(jì)的要求的列表等，全面保障交易安全，適用于所有涉及支付卡處理的實(shí)體，包括商戶、處理機(jī)構(gòu)、購(gòu)買者、發(fā)行商和服務(wù)提供商及儲(chǔ)存、處理或傳輸持卡人資料的所有其他實(shí)體。

數(shù)據(jù)下跌，反映全球多間公司未能通過安全標(biāo)準(zhǔn)檢測(cè)，或未有完全遵守安全標(biāo)準(zhǔn)規(guī)定。值得留意的是亞太區(qū)企業(yè)合規(guī)數(shù)字達(dá)77.8%，遠(yuǎn)超歐洲(46.4%)及美國(guó)(39.7%)的水平，反映區(qū)內(nèi)多個(gè)國(guó)家，如中國(guó)、印度及新加坡等監(jiān)管機(jī)構(gòu)愈趨嚴(yán)謹(jǐn)，令安全意識(shí)大幅提高。

10.銀行卡非接盜刷頻發(fā)

2018年7月，一段測(cè)試者使用POS機(jī)從背后接近路人，在路人毫無察覺的情況下利用非接支付完成盜刷的視頻刷爆了網(wǎng)絡(luò)，事情發(fā)生在愛爾蘭，該視頻引起了當(dāng)?shù)孛癖妼?duì)非接支付安全的質(zhì)疑。

12月，廣州發(fā)生多起銀行卡盜刷案件，手法與愛爾蘭視頻一樣，犯罪分子利用銀行卡免密免簽功能，使用POS機(jī)在不發(fā)生接觸的情況下完成盜刷。

兩件事情都引發(fā)了民眾對(duì)非接支付安全的質(zhì)疑，認(rèn)為免密免簽功能不夠安全，對(duì)此銀聯(lián)表示，目前所有支持小額免密免簽的商戶均經(jīng)過嚴(yán)格篩選，為全國(guó)及各地知名品牌或連鎖商戶。免密免簽服務(wù)交易限額統(tǒng)一設(shè)定為單筆1000元人民幣，超過該額度則需輸入密碼，銀行對(duì)于單日累計(jì)免密限額也進(jìn)行了控制。同時(shí)，銀聯(lián)及發(fā)卡銀行對(duì)小額免密免簽交易進(jìn)行后臺(tái)風(fēng)險(xiǎn)監(jiān)測(cè)，通過監(jiān)測(cè)交易特征、識(shí)別可疑交易等防控手段，保障持卡人的資金安全。

銀聯(lián)聯(lián)合各商業(yè)銀行提供失卡保障“風(fēng)險(xiǎn)全賠付”服務(wù)，對(duì)于持卡人的正常用卡損失是完全可以足額補(bǔ)償。事實(shí)上根據(jù)記者測(cè)試，要想實(shí)施盜刷，POS機(jī)必須貼身，且銀行卡不能多卡共放。

結(jié)語(yǔ)

安全是2018年金融支付領(lǐng)域的關(guān)鍵詞，包含了終端安全、應(yīng)用安全、數(shù)據(jù)安全等等，涉及到TEE、生物識(shí)別、短信嗅探在內(nèi)的多種技術(shù)，發(fā)布包括217號(hào)文、146號(hào)文、聚合支付安全規(guī)范在內(nèi)的種種文件、標(biāo)準(zhǔn)，移動(dòng)支付網(wǎng)只收錄了其中的部分，由于視角和能力有限，文中一定有不足之處，歡迎朋友們批評(píng)指正、交流探討。

安全是永無止境的，移動(dòng)支付網(wǎng)期望與您在2019年繼續(xù)共同前行。