行動支付目前正在如火如荼的發展中,但是這個技術真的值得信任嗎? 到底是幫助消費者進行支付,還是幫助駭客竊取他人的金錢呢? 原文作者 Slava Gomzin 身為資深的支付安全顧問( payment security expert),提供了我們一些可能沒有注意到的一些問題。
目前提供主流行動支付的公司 ( Google, Apple, PalPay, 亞馬遜, 淘寶…等 ),無非都是透過自己開發的軟硬體規格,提供簡單並且好套用的 API 給開發商方便進行開發與應用,但是這樣一來,反而降低了行動支付本身的嚴謹度與安全性,簡單說,原本利用磁片卡才能進行的交易,未來只需要透過簡單的電子數據認證方式就可以完成支付的動作,這樣很可能為駭客提供了方便偷取他人金錢的"便利管道"。
以 NFC 這類非接觸式的付費方式來說,它並不算是創新的方式,只是過去刷卡的方式,以近距離非觸碰式的方式進行數據傳輸,但是這個傳輸的過程,並沒有進行加密,整個交易過程就是像用過去的卡片刷卡,但是少了刷卡機的過程,直接將數據傳輸到接受器上,更糟的是,還可能是一大疊的信用卡都被濃縮到一個小小的NFC卡片時,風險就更大了,且感應器進行 NFC 傳輸時,往往數據的傳輸並沒有完全顯示在任何裝置上,這樣一來,就給了駭客可以在背後進行其他 “隱密行為" 的最佳機會了。
另一種以支付標籤 Coin 方式存在的行動支付方式,用一張卡狀複雜的設備代替多個信用卡。看起來,因為多了一個實體裝置之後,被盜領或是被竊的機會是降低許多,但是這類支付一樣是利用電子化的數據傳輸,也就是說,其實這個實體的支付標籤並不是必要的條件,駭客只要竊去到標籤的特殊 ID碼,就等於是拿到使用者的附卡一樣,可以隨時進行支付的驗證動作,這樣一來不僅幫駭客省下了複製塑膠卡片與假簽名的動作外,還可以用一個標籤進行許多身分的切換,減少因盜刷被捕的機會…
多半駭客們都非常願意嘗鮮,率先應用這類全新的技術,並從中找出漏洞後進行破壞,或許目前相關服務還沒有傳出任何災情 (因為根本還沒普及…),但是可以預料的是,未來資安的問題還是要自己多注意一些才是…
※本篇授權轉載至 全球數位趨勢 Dgtrend.com
