Samsung Pay:早期安全检测

2015 年03 月13日

于本月初在巴塞罗那举办的世界移动通信大会上,安卓智能手机巨头三星公司发布了其最新支付平台- Samsung Pay。就其名字而言,很容易让人们联想到三星在移动支付平台领域的最大竞争对手- Apple Pay。然而Samsung Pay具备Apple Pay所没有的优势:磁力安全传输技术(MST)。

MST技术事实上是由一家叫做”LoopPay”的公司开发的。在2月中旬,三星悄悄地收购了LoopPay。Apple Pay的使用范围相对较小,仅限于安装了启用近场通信的销售点终端的商户,而相比之下,Samsung Pay却能够与现有的磁条阅读销售点系统进行交互。当然,磁条阅读器覆盖了全美几乎大多数的支付终端,而芯片密码(EMV)的普及率相对落后。据报道,Samsung Pay同样也能在NFC(近场通信)环境下使用,但三星公司对这一新的支付应用程序仍然三缄其口。

在卡巴斯基每日中文博客中,我们的讨论重点并非是永无停息的苹果与三星的”世纪大战”,而是主要关注于任何新推出的–以及可能流行的–支付平台。有关MST安全或Samsung Pay工作原理方面的研究文章目前并不太多,因此我们只能将目光转到LoopPay,看看这家公司是否曾谈及过其内置于Samsung Pay的该项技术。

首先,MST通过一个感应线圈产生动态磁场,并可根据用户规定的时限改变。磁条阅读器—就如同你刷信用卡或借记卡时所用的磁条—如果你的移动设备距离阅读器3英寸范围内,将能识别出磁场。

和传统信用卡或借记卡一样,磁场内包括了你的支付信息。只有在用户选择发送支付信息时磁场才会存在,且一旦移动设备与阅读器的距离超出3英寸的话,磁场将会自动消失。这意味着攻击者必须距离支付过程非常非常近才有可能窃取支付数据。目前尚不清楚该技术是否会针对传统银行卡支付模式提供任何实质性的安全更新,其更新方式目前也尚未可知。因此还是假定该技术存在不安全性为好。

在LoopPay应用程序内,用户完全可以自行选择是否需要始终发出磁场、或是关闭、还是10分钟或8个小时,或者某一特定时长。而对于LoopPay本身而言,似乎存在可拆卸的硬件组件,并设有传送支付数据的按钮。因此,用户必须对设备发送支付数据的时长进行设置,并按下按钮确认发送。

对于三星而言,似乎MST硬件和发送按钮均内置于启用Samsung Pay的移动设备内。为此我们专门联系了三星想确认这一消息,但公司并未谈及过多其即将发布的支付平台。

然而在一篇新闻中,三星解释说用户将只需从移动设备屏幕的最下面向上滑即可启动Samsung Pay应用程序。用户随后即可从保存在Samsung Pay钱包内的众多银行卡中选择一种支付方式,并通过其移动设备内置的指纹扫描功能确认支付。而其安全方面更令人感兴趣,该篇新闻中似乎还隐含地提到Samsung Pay将借助三星安全的Knox子操作系统来提升其安全性。

如果三星无法在Samsung Pay内加入芯片密码技术的话,他们将不得不以一种过时且不安全的支付模式来应对未来的挑战

对于即将集成的更安全芯片密码技术将如何对依赖于磁条阅读器的技术部署产生影响,目前依然不得而知。LoopPay提供专门针对关于EMV问题的完整常见问题解答。他们的观点似乎是MST与芯片密码一样安全。看看三星是否还有什么其他的计划,这将非常有趣,尤其是考虑到2015年末美国将全面普及芯片密码技术。

如果三星无法在Samsung Pay内加入芯片密码技术的话,他们将不得不以一种过时且不安全的支付模式来应对未来的挑战。除此之外,LoopPay似乎也在赌磁条阅读器将长期使用,但他们根本不知道芯片密码技术将迅速在全美范围普及开来,或者其他的支付机制一旦出现也将极大影响到目前的支付模式。

更加显然的问题是安装后使用的情况。从操作系统到联网恒温控制器:bug都不可避免。我们将不得不在今年夏天等待韩国和美国方面的正式发布。一旦Samsung Pay正式上市,安全研究专家和网络攻击者一定将不遗余力地寻找bug,而我们也将为您带来最新的相关报道。

还值得注意的是,安卓的开放平台以及76.6%的市场占有率—都是安卓越来越成为网络犯罪分子攻击目标的两个首要原因—这使得Samsung Pay相比Apple Pay而言更容易引起网络骗子的注意,也是本月一些低级诈骗的主题。