Samsung Pay:早期安全检测

于本月初在巴塞罗那举办的世界移动通信大会上,安卓智能手机巨头三星公司发布了其最新支付平台- Samsung Pay。就其名字而言,很容易让人们联想到三星在移动支付平台领域的最大竞争对手- Apple Pay。然而Samsung Pay具备Apple Pay所没有的优势:磁力安全传输技术(MST)。 MST技术事实上是由一家叫做”LoopPay”的公司开发的。在2月中旬,三星悄悄地收购了LoopPay。Apple Pay的使用范围相对较小,仅限于安装了启用近场通信的销售点终端的商户,而相比之下,Samsung Pay却能够与现有的磁条阅读销售点系统进行交互。当然,磁条阅读器覆盖了全美几乎大多数的支付终端,而芯片密码(EMV)的普及率相对落后。据报道,Samsung Pay同样也能在NFC(近场通信)环境下使用,但三星公司对这一新的支付应用程序仍然三缄其口。 在卡巴斯基每日中文博客中,我们的讨论重点并非是永无停息的苹果与三星的”世纪大战”,而是主要关注于任何新推出的–以及可能流行的–支付平台。有关MST安全或Samsung Pay工作原理方面的研究文章目前并不太多,因此我们只能将目光转到LoopPay,看看这家公司是否曾谈及过其内置于Samsung Pay的该项技术。 首先,MST通过一个感应线圈产生动态磁场,并可根据用户规定的时限改变。磁条阅读器—就如同你刷信用卡或借记卡时所用的磁条—如果你的移动设备距离阅读器3英寸范围内,将能识别出磁场。 和传统信用卡或借记卡一样,磁场内包括了你的支付信息。只有在用户选择发送支付信息时磁场才会存在,且一旦移动设备与阅读器的距离超出3英寸的话,磁场将会自动消失。这意味着攻击者必须距离支付过程非常非常近才有可能窃取支付数据。目前尚不清楚该技术是否会针对传统银行卡支付模式提供任何实质性的安全更新,其更新方式目前也尚未可知。因此还是假定该技术存在不安全性为好。 在LoopPay应用程序内,用户完全可以自行选择是否需要始终发出磁场、或是关闭、还是10分钟或8个小时,或者某一特定时长。而对于LoopPay本身而言,似乎存在可拆卸的硬件组件,并设有传送支付数据的按钮。因此,用户必须对设备发送支付数据的时长进行设置,并按下按钮确认发送。 对于三星而言,似乎MST硬件和发送按钮均内置于启用Samsung Pay的移动设备内。为此我们专门联系了三星想确认这一消息,但公司并未谈及过多其即将发布的支付平台。 然而在一篇新闻中,三星解释说用户将只需从移动设备屏幕的最下面向上滑即可启动Samsung Pay应用程序。用户随后即可从保存在Samsung Pay钱包内的众多银行卡中选择一种支付方式,并通过其移动设备内置的指纹扫描功能确认支付。而其安全方面更令人感兴趣,该篇新闻中似乎还隐含地提到Samsung Pay将借助三星安全的Knox子操作系统来提升其安全性。 如果三星无法在Samsung Pay内加入芯片密码技术的话,他们将不得不以一种过时且不安全的支付模式来应对未来的挑战 对于即将集成的更安全芯片密码技术将如何对依赖于磁条阅读器的技术部署产生影响,目前依然不得而知。LoopPay提供专门针对关于EMV问题的完整常见问题解答。他们的观点似乎是MST与芯片密码一样安全。看看三星是否还有什么其他的计划,这将非常有趣,尤其是考虑到2015年末美国将全面普及芯片密码技术。 如果三星无法在Samsung Pay内加入芯片密码技术的话,他们将不得不以一种过时且不安全的支付模式来应对未来的挑战。除此之外,LoopPay似乎也在赌磁条阅读器将长期使用,但他们根本不知道芯片密码技术将迅速在全美范围普及开来,或者其他的支付机制一旦出现也将极大影响到目前的支付模式。 更加显然的问题是安装后使用的情况。从操作系统到联网恒温控制器:bug都不可避免。我们将不得不在今年夏天等待韩国和美国方面的正式发布。一旦Samsung Pay正式上市,安全研究专家和网络攻击者一定将不遗余力地寻找bug,而我们也将为您带来最新的相关报道。

于本月初在巴塞罗那举办的世界移动通信大会上,安卓智能手机巨头三星公司发布了其最新支付平台- Samsung Pay。就其名字而言,很容易让人们联想到三星在移动支付平台领域的最大竞争对手- Apple Pay。然而Samsung Pay具备Apple Pay所没有的优势:磁力安全传输技术(MST)。

MST技术事实上是由一家叫做”LoopPay”的公司开发的。在2月中旬,三星悄悄地收购了LoopPay。Apple Pay的使用范围相对较小,仅限于安装了启用近场通信的销售点终端的商户,而相比之下,Samsung Pay却能够与现有的磁条阅读销售点系统进行交互。当然,磁条阅读器覆盖了全美几乎大多数的支付终端,而芯片密码(EMV)的普及率相对落后。据报道,Samsung Pay同样也能在NFC(近场通信)环境下使用,但三星公司对这一新的支付应用程序仍然三缄其口。

在卡巴斯基每日中文博客中,我们的讨论重点并非是永无停息的苹果与三星的”世纪大战”,而是主要关注于任何新推出的–以及可能流行的–支付平台。有关MST安全或Samsung Pay工作原理方面的研究文章目前并不太多,因此我们只能将目光转到LoopPay,看看这家公司是否曾谈及过其内置于Samsung Pay的该项技术。

首先,MST通过一个感应线圈产生动态磁场,并可根据用户规定的时限改变。磁条阅读器—就如同你刷信用卡或借记卡时所用的磁条—如果你的移动设备距离阅读器3英寸范围内,将能识别出磁场。

和传统信用卡或借记卡一样,磁场内包括了你的支付信息。只有在用户选择发送支付信息时磁场才会存在,且一旦移动设备与阅读器的距离超出3英寸的话,磁场将会自动消失。这意味着攻击者必须距离支付过程非常非常近才有可能窃取支付数据。目前尚不清楚该技术是否会针对传统银行卡支付模式提供任何实质性的安全更新,其更新方式目前也尚未可知。因此还是假定该技术存在不安全性为好。

在LoopPay应用程序内,用户完全可以自行选择是否需要始终发出磁场、或是关闭、还是10分钟或8个小时,或者某一特定时长。而对于LoopPay本身而言,似乎存在可拆卸的硬件组件,并设有传送支付数据的按钮。因此,用户必须对设备发送支付数据的时长进行设置,并按下按钮确认发送。

对于三星而言,似乎MST硬件和发送按钮均内置于启用Samsung Pay的移动设备内。为此我们专门联系了三星想确认这一消息,但公司并未谈及过多其即将发布的支付平台。

https://twitter.com/androidcentral/status/575432136490004482

然而在一篇新闻中,三星解释说用户将只需从移动设备屏幕的最下面向上滑即可启动Samsung Pay应用程序。用户随后即可从保存在Samsung Pay钱包内的众多银行卡中选择一种支付方式,并通过其移动设备内置的指纹扫描功能确认支付。而其安全方面更令人感兴趣,该篇新闻中似乎还隐含地提到Samsung Pay将借助三星安全的Knox子操作系统来提升其安全性。

如果三星无法在Samsung Pay内加入芯片密码技术的话,他们将不得不以一种过时且不安全的支付模式来应对未来的挑战

对于即将集成的更安全芯片密码技术将如何对依赖于磁条阅读器的技术部署产生影响,目前依然不得而知。LoopPay提供专门针对关于EMV问题的完整常见问题解答。他们的观点似乎是MST与芯片密码一样安全。看看三星是否还有什么其他的计划,这将非常有趣,尤其是考虑到2015年末美国将全面普及芯片密码技术。

如果三星无法在Samsung Pay内加入芯片密码技术的话,他们将不得不以一种过时且不安全的支付模式来应对未来的挑战。除此之外,LoopPay似乎也在赌磁条阅读器将长期使用,但他们根本不知道芯片密码技术将迅速在全美范围普及开来,或者其他的支付机制一旦出现也将极大影响到目前的支付模式。

更加显然的问题是安装后使用的情况。从操作系统到联网恒温控制器:bug都不可避免。我们将不得不在今年夏天等待韩国和美国方面的正式发布。一旦Samsung Pay正式上市,安全研究专家和网络攻击者一定将不遗余力地寻找bug,而我们也将为您带来最新的相关报道。

还值得注意的是,安卓的开放平台以及76.6%的市场占有率—都是安卓越来越成为网络犯罪分子攻击目标的两个首要原因—这使得Samsung Pay相比Apple Pay而言更容易引起网络骗子的注意,也是本月一些低级诈骗的主题。

2015世界移动通信大会:四大前景广阔的IT安全趋势

世界移动通信大会(MWC)总是能让那些关心安全问题的参观者和与会者满意而归。由于是全球移动通信协会(GSMA)举办的大会,因此将安全问题考虑在内是再自然不过的事情了。今年举办的MWC 2015展会也毫不例外,再一次将安全问题作为此次展会的主要主题内容。接下来我将带你们一同领略卡巴斯基实验室在本次展会中所发现的几大安全领域趋势。 趋势1:物联网的安全 在卡巴斯基每日中文博客中,我们会定期写一些有关意想不到的存在漏洞联网设备的文章,原因只是因为有太多的家用电器或电子设备即将被联网:从电冰箱、咖啡机、智能电视机和微波炉到智能健身手环以及其它各种可穿戴设备无所不包,甚至还有遥控飞机。大量的家用电器被联网将造成许多令人意想不到的结果。不幸的是,大多数相关制造商和开发商对物联网安全领域几乎一无所知,缺乏基础的经验。 在反对这一问题的草率态度上,卡巴斯基实验室并非”孤军奋战”:在MWC展会上,许多人也提出了与联网设备保护有关的同样问题。这是一个令人振奋的消息:无论是用户还是开发商越快发现这个问题的严重程度,我们也能越快找到保护联网设备安全的方法。 趋势2:加密手机 在过去的两年里,发生了大量数据外泄事件以及其它”黑客入侵”全球窃听信息的事件,这些事件的幕后黑手包括:政府组织、黑客小组甚至你邻居家的孩子。所有这些新闻让人们对于安全和隐私通讯有了更迫切需求。这也让市场催生出经过严格加密的手机(也许你没有注意到,去年夏天我们曾发布了一篇针对加密手机的详细评论文章)。 在今年的MWC展会上,Silent Circle发布了全新的升级版Blackphone 2和Blackphone Plus —一款以安全为核心功能的平板电脑。两款移动设备均运行PrivatOS操作系统,并配备有不同的安全功能,还加入了一项新的功能:能让用户针对应用程序、数据和账户创建不同独立’空间’的空间虚拟化系统。这就如同一台设备内存放了多台独立智能手机。 巴西公司Sikur也推出了另一款重点考虑安全问题的解决方案,叫做”GranitePhone”。开发者显然走了极端路线:GranitePhone操作系统内没有安装任何浏览器,也无法访问手机摄像头,同时用户也不被允许安装任何其它的应用程序。GranitePhone可以用来发送和接受电邮和短信、打电话以及浏览文档等。 只有在两部GranitePhone之间或与运行公司软件的iOS/安卓移动设备通讯时,才能启用加密通讯。你也可以打电话给其它的手机,但却无法进行加密。正如你所看到的,这并不是一部通用的设备,但却是第二部主要用于处理敏感数据的手机。 还有一款在MWC展会上推出的加密手机叫做”LockPhone”。和另一款LockTab平板电脑一样,都是来自中国香港。采用1024位设备加密保护措施,在打电话、发短信以及发电邮时都能启用加密通讯(但必须是在两部LockPhone之间进行)。我们不清楚为什么开发商将这两部移动设备称为”首款加密的智能手机和平板电脑”,当然这并不是事实。 趋势3:生物识别 作为全球最大的智能手机芯片制造商,高通也在MWC 2015展会上发布了重大生物识别创新技术。其指纹识别技术不再只是基于视觉或电容式传感器。相反,高通采用了一项全新的技术,通过超声波对你的手指表面进行3D图像扫描。 有充分的理由让我们相信这一创新技术的前途将一片光明。首先,它是通过玻璃、铝、不锈钢、蓝宝石和塑料读取你的指纹。从理论上说,制造商完全能够将传感器装到手机或平板电脑的任何位置。 https://instagram.com/p/zuSbwYw5mo/ 其次,高通还承诺新的传感器的工作速度更快且更加精确,几乎不会有读取失败的情况发生。值得注意的是,快速的指纹识别功能使得这一技术能够扫描动态图片并通过检测脉搏来区分手指的真伪。除此之外,就算手指有点干或有些湿的时候,全新的ultrasonic传感器也能正常识别。 就目前而言,还没有任何一款移动设备装备有全新的高通传感器,但毫无疑问我们将能在不久的将来看到。 一些好消息也带给了三星移动设备的疯狂拥护者:公司最终决定做一个全新的指纹传感器。Galaxy S6和Galaxy S6 Edge采用了无需手滑的全新装置。就像iPhone手机一样,只需触摸传感器即可开始使用设备。 趋势4:追踪孩子位置 有许多公司也推出了针对孩子安全的解决方案,其中即包括了一些孩子追踪设备。无论是软件解决方案还是单独的追踪设备均有助于家中监视孩子当前所在位置。 在MWC 2015展会上,卡巴斯基实验室推出了一款beta版的多功能移动应用程序-

提示