随着 Apple 宣布新 iPhone 6 采用无接触式支付服务,这意味着 Apple 正挺进支付服务市场。该公司于昨日宣布同时推出两个新的 iPhone 型号及 Apple Watch,并公布了 Apple Pay 的细节,该应用程序允许用户使用近距无线通信 (NFC) 无线技术进行支付。
Apple 并未创建自己的支付基础架构,而是与 Visa、MasterCard、American Express 及多家主要发卡银行签订了交易协议,这些银行将在现有支付卡网络上看到那些通过新 iPhone 完成的付款。
一键支付
新 iPhone 6 的用户可以将手机靠近无接触式阅读器来完成商品及服务费用的支付,而不用解锁手机或启动某些应用程序。用户只需将手指放在 Apple 的 Touch ID 指纹传感器上,阅读器即可验证本次支付和用户身份信息。
Apple 宣称,处理交易时不会使用实际的信用卡和借记卡卡号。取而代之的方法是,当用户在 Apple Pay 中添加卡时,会在手机里添加一个独特的“设备帐号”,该帐号安全地存储在专用芯片中。并且这些帐号绝不会传输到 Apple 服务器。用户在付款时,会使用设备帐号和本次交易特定的一次性“动态安全码”来处理支付过程。
虽然无接触式支付和 NFC 集成技术在智能手机上并非首创,但出现在 iPhone 上标志着该项技术可能将逐渐成为主流。这自然会吸引攻击者的注意力。近期美国发生的大型信用卡泄露事件即以支付卡终端为主要目标。在某些情况中,安装在销售点 (PoS) 终端上的恶意软件,产生了海量的客户支付卡详细信息传输。
支付安全性得以提高?
据 Gartner 分析,Apple Pay 的应用可能会受到担心 PoS 泄露的商家的欢迎。使用 Apple Pay 意味着消费者无需将支付卡数据存储在手机上。相反,当他们准备付款时,其发卡银行会向手机提供一次性令牌以启动支付流程。
Gartner 的 Avivah Litan 说,“令牌编号不是信用卡号,如果商家不用接受、存储或传输实际的信用卡号,这对他们来说有很多安全优势。”她还补充道,商家的支付卡行业 (PCI) 遵从审计范围将大幅缩小。Litan 说,由于犯罪分子无法重用令牌编号,所以不会费时费力去窃取这些编号,因此商家有可能避免支付卡数据泄露事件。
不过,Gartner 建议 Apple 继续努力,以确保 Apple Pay 的广泛采用。相比消费者,商家的接受程度往往才是成功的判定标准。鉴于大量商家已花重金迁移到 EMV(芯片和 PIN)终端或点对点加密 (P2PE),Apple 可能需要多一些让利,譬如降低商家手续费。
其他专家也认为 NFC 移动支付可以减少 PoS 泄露。“Apple 可以说是沉睡的电子钱包巨人,这可以显著降低 PCI DSS [数据安全标准] 对于商家的影响。”Sysnet Global Solutions 的 Branden Williams 对《福布斯》如是说。“如果零售商只接受通过 NFC P2PE 终端进行的交易,可以想见,他们的大部分基础架构都可以取消,而且再不会成为主要攻击目标了。”
诸如 Apple Pay 这样的系统无疑可以弥补某些薄弱环节,这些弱点为近期针对 PoS 系统的攻击打开了方便之门。但是,这不应当成为志得意满的理由,因为一旦某个攻击途径被堵住,攻击者往往会找寻其他漏洞。倘若 Apple Pay 成为支付方法,攻击者很可能围绕 NFC 支付对其安全性发起猛烈的攻击测试。