移动支付安全及风险防范

移动支付安全及风险防范 有调查显示，目前每5位中国人中即有4人担心手机网 络犯罪。手机从事活动主要包括在线阅读、访问社交网站、 在线购物以及移动支付。以前大家等公交的时候，更多是在 一起聊天，现在几乎90%以上的人都是拿着手机做一些娱乐 或是工作，有人炒股票，有人刷微博，还有人可能做移动支 付的购买，甚至还有做手机银行转帐等等。目前手机已经成 为我们必不可少的工具，大家越来越依赖于手机，就像我们 越来越依赖互联网一样。 目前，移动支付作为一种新兴的支付方式，其便利性使 得其已成为一种潮流，但是移动支付存在的安全隐患也要引 起我们的重视。不久前，在中信网络科技股份有限公司组织 的“金融IC卡行业应用与移动支付高峰沙龙会”上银行卡 检测中心安全技术部总经理杜磊分享了目前移动支付存在 的风险，已经从技术上如何去防范。 移动支付的安全概述 “移动支付作为一种新兴的支付方式，已成为一种潮流, 但是移动支付存在的安全隐患也要引起我们的重视，当然， 这些安全隐患和风险未必就代表是安全问题。据安管云开放 平台2013年2月的统计，出现了越来越多的手机病毒和恶 意软件，例如无提示私自发送短信，窃取用户隐私资料，还有无提示大量流量消耗等问题。”杜磊指出说，“还有一 些内置的软件在用户不知情的情况下大量吞噬着手机流量， 这些都我们面临的非常现实的问题。” 各种媒体宣传都在提醒手机用户，手机不是保险箱，通 讯录里不要暴露家庭信息，防止一旦手机丢了之后可能会遭 到诈骗。实际上不需要手机丢，我们存储在手机上的信息可 能早已被恶意软件窃取。一些问卷调查公司来电，能够直呼 机主姓名和工作单位，他们是如何获得的？很可能就是手机 里面的一些短信信息、文件信息以及通讯录信息被非法窃取 了。例如通过短信信息了解一个人的消费习惯、工作状况以 及家庭状况，为某些利益链服务。所以说手机本身它没有太 多的安全防护，给我们带来很大的安全隐患。 所以，我们在移动支付里，在手机银行里，把手机作为 交易工具的时候，应该默认手机是不安全的，再对整个交易 流程进行安全设计和优化，才能保证移动支付以及手机银行 交易的安全性。分析移动支付的交易环节，首先是通过手机 的终端采集交易数据，例如借助个人支付终端做身份认证，， 交易信息传输到移动运营商，再到移动支付后台，在交易的 每个节点都要考虑到安全风险。做近场交易的时候会用到受 理终端，终端安全和收单系统的安全性也同样要考虑，如果 每一个节点的安全性都保证了，再保证整个流程和业务流程 的安全性，我们说这个过程就是可控的。 杜磊回顾和分析了交易中涉及到的一些工具和对应的安 全风险，以及如何防范这些风险？ “移动支付关注的要点， 主要是防窃取、防篡改、防重放、防伪造。尤其交易的篡改、 伪造、重放是经常出现的，移动支付中也经常出现，交易报 文中没有更多随机成分的时候就会出现重放以及伪造交易 情况的存在。” 目前为了保障金融交易的安全性，金融行业也制定了一 些相关标准。《中国金融移动支付技术标准》已经颁布，银 行卡检测中心负责牵头撰写了技术保障部分的检测标准，其 中结合了多年来对金融行业安全风险和经验的汇总。另外， 在人民银行的组织下历时三年才完成的《网上银行信息系统 安全通用规范》中也对移动支付、电子支付的安全提出了安 全要求。 移动支付模型与风险分析 杜磊梳理了十几年来出现的几种移动支付方式，并分析 了其中存在的风险：从2000年到2013年，先后出现SMS短 信支付，IVR （语音）的交互，STK支付方式，WAP/WEB， 无智能卡的客户端远程支付，后来又出现了基于智能卡的客 户端远程支付，还有像“迷你付”这种个人移动支付终端配 合交易认证来完成交易和防止银行卡的犯罪，及智能卡的近 场支付等等。 1.短信支付 短信支付会有转入、转出、卡号、收款人信息、金额、 密码等等信息，这就存在安全风险，这种交易不仅仅有可能 被窃取，而且容易被篡改、伪造。这种支付安全风险较大， 因为没有经过加密，是明文进行数据交互，所有转入转出的 卡号、金额等等都暴露在明文上。 2.STK 这种方式虽然会采用加密算法，但是交易过程中有可能 需要转加密，在转加密的环节就有可能存在安全隐患，这是 我们关注的要点。而且这种交易因为在手机上完成，没有任 何的额外认证介质，那么这个手机本身是能够被远程控制的, 它能够被远程控制来完成一笔交易。我们对一些手机银行的 移动支付做安全攻击的实验，在手机上种植木马，手机的所 有短信能够被获取。同时我们看到网上银行安全防护措施的 一种是动态口令发到手机里，这种机制作为网上银行来讲是 可以作为比较有效的安全防护措施，但是作为手机银行或者 是移动支付、远程支付来讲就大打折扣。因为这种短信是发 到手机上，通过木马程序可以直接分析出短信信息，这同使 用静态密码没有什么太大的区别，木马完全可以做到。 3.IVR 通过提供交易身份验证信息，卡号、手机号、姓名等， 上送信息，发起交易。曾经有一种诈骗，通过电话的免提来 输入银行卡密码，说我跟你做一笔交易，做一笔交易的前提 我要知道你这笔银行卡里面有100万的余额，不需要告知银 行密码，但需要通过电话免提的方式查询账户余额让对方听 到。当通过免提输入银行卡密码的时候，犯罪分子就使用远 程录音方式，获取按键声音，再使用软件统计分析出密码， 最后完成诈骗。 4.WEB 典型的WEB交易流程就是通过手机浏览器来完成交易， 这种交易流程可能会遇到中间人攻击，对浏览器这一端会伪 造一个服务器，服务器这端伪造一个浏览器来完成交易欺骗 的流程，完成交易篡改和伪造。对于网上银行以及手机银行 这种安全风险非常大。在撰写网上银行安全标准的时候，我 们几乎办了全部的网上银行账户，我们对这些银行做了安全 分析，之后我们发现，几乎所有的银行都防止不了中间人篡 改。 5.无智能卡客户端 通过客户端CS模式完成的交易，这种交易它的问题是客 户端程序本身会存在风险，比如说客户端本身程序可能携带 了木马，或者假的客户端程序，甚至这种客户端程序它会把客户所按键记录等等记录下来，客户端设计缺陷可能绕过安 全认证机制，可能会伪造交易。所以移动支付和网络银行的 标准里边都对客户端的安全性规定做了要求。首先客户端程 序是接受客户敏感信息的，无论是安全控件也好，插件也好, 本身应该是安全的，同时能真正扛住黑客的攻击。但是通信 协议没有强加密，数据能够被窃听。还有认证信息的重放， 有些信息会做签名的操作，发到后台做签名认证。实际上可 能有的银行的后台里面做签名的时候，签名是签了，但是后 台是不验证签名的，甚至所有用户的签名都是一样的，只要 是这个银行的签名他就认。 实际上我们所使用的操作系统本身也存在安全风险，比 如很多手机都是使用被越狱的手机，因为有很多漏洞才能被 越狱。而手机操作系统本身也可能存在风险，我们知道有一 些手机为了做动画效果，能够看起来比较眩目，会做一些自 动的截屏机制，很多人用手机的时候，根本不知道在做每个 动作的时候，实际上手机操作系统已经进行了截屏保存。如 果正好在输入密码，它就会自动保存，这个信息被窃取之后, 密码实际上就已经丢了。还有按键会缓存，下一次做交易的 时候自动帮你填上去，这本身就是风险。大家网上冲浪可能 经常会用到某种浏览器，而这种浏览器本身为了上浏览速度 更快，可能会首先到它的服务器上进行缓存，就极有可能把 你银行卡的密码或者信息出现缓存。还有木马完全可以在液晶显示屏上通过坐标显示密码，如果密码排部不是乱序的话, 就完全可以通过坐标来判断你的按键，这都是手机支付和移 动支付当中的安全风险。 某种流行手机里的截屏，如果我们知道这个机制的话， 我们可以米取关闭的措施，但是默认是开启。按键会在缓存 上存好，我们做攻击实验，按键存好，我们把文件拷出来， 进行编码程序，把他的名字和输入的信息都进行缓存。手机 上的一些程序会使用手机版本的的数据库，这些数据库内有 可能缓存了用户的信息。安卓客户端也是存在这样的问题， 它的程序相对容易被逆向分析，风险就在于恶意人员可以通 过逆向分析掌握客户端实现的安全防护机制通，从而定制木 马程序攻击客户端程序。所以现在目前市场上用的应用程序 会存在木马。 针对手机银行，我们做了专门的安全分析，存在一些通 用的安全风险，例如密码防窃取问题，这个防护起来是很难 的，大家都很难做到，有一些宣传自己在移动支付有一些控 件，网上支付可以做到，但是在手机上往往很难实现，为什 么呢？因为手机本身不是开放的操作系统，有很多不对外开 放的接口，也就很大通过底层编程防护密码窃取问题。 不基于智能卡的移动支付的如果没有其它介质辅助安全 认证，就像我们网上银行交易过程中没有迷你键盘辅助做安全认证一样，安全问题很难保障，原因就在于PC机或者手 机都能够被远程控制，而且被远程控制的时候，中木马的可 能性几乎是100%。所以一定要借助有人机交互的辅助认证介 质，例如密码键盘USBKey等。 6•智能卡客户端 基于智能卡客户端的移动远程支付需要我们配合业务流 程上的要求以及其他方面的保护来完成整个防风险的目的。 例如证书绑定、智能卡无PIN保护等等。 使用智能卡作为安全认证介质，就要考虑到智能卡芯片 和嵌入软件的安全性，以及受理终端报文处理和传送的安全 性，这都是移动支付交易流程上的节点。为了智能卡芯片的 安全，国家发改委也专门支持了中国银联和银行卡检测中心 承担“国家金融IC卡安全检测中心”的建设项目，这个建 设项目目前正在紧锣密鼓开展过程中，主要是解决金融IC 卡芯片安全检测认证的问题。之前没有检测，就很难讲目前 的金融IC卡芯片它的安全性，很难讲金融IC卡芯片Pos的 安全性。 对于嵌入式软件的风险，最核心的问题是后门指令问题。 经过我们研究和检测我们发现很多软件存在安全漏洞，例如 通过下载定制的程序，能够把另一个应用里面所有的数据全 部下载出来，这对多应用的安全性就提出了挑战，需要引起我们的注意。例如如果金融应用与交通应用下载到同一张IC 卡上，如果能穿透智能卡多应用防火墙，也许就能够把金融 的密钥导出来，这存在很大的安全风险，所以说智能卡软件 安全也作为安全风险点受到大家的关注。现在移动支付中使 用的个人支付终端有很多种类和形式:有通过USB接口通讯, 有的通过音频口通讯；有的带显示屏，有的不带显示屏，； 有的带键盘，有的不带键盘，无论形式和类型如何都要考虑 到安全性的问题，因为没有统一的安全要求，就会存在安全 隐患。 移动支付关键安全技术 “我们通过手机终端完成交易的时候会使用认证介质， 通过手机终端的安全保护控件或者客户端发送这笔交易，近 场支付中会通过Pos机处理交易，每一个环节上的产品本身 不能有安全问题，因为任何一个环节的产品本身出现了安全 问题，那么都会导致整个交易出现安全风险。所以说整个安 全是系统工程，不能局限说某个环节上的安全，应该从整个 交易链上通盘考虑，对认证介质，嵌入式软件，终端以及后 台系统等等做安全要求，才能够保障整体交易的安全。”杜 磊总结说，“而考虑业务安全是为了达到某种平衡，因为我 们大家都知道，不可能让某一种安全技术或者是使用所有的 安全技术来解决所有的安全问题，它有可能会导致交易和业 务的无法进行。安全认证的流程太复杂，有可能导致用户体验会很差，所以需要掌握一个平衡，这种情况下，用户运作 安全就尤显重要。” 目前银行卡检测中心安全技术部针对移动支付、手机银 行、银行卡系统、终端产品、安全辅助产品、安全保护软件 等安全型都做了大量的研究工作，并都开展了测试业务，银 行卡检测中心希望目前的测试技术和产品安全分析能够为 广大移动支付用户服务。