赛门铁克解析新iPhone手机可能带来的支付安全变革

苹果公司宣布新的iPhone 6手机将采用非接触式支付服务，这意味着苹果公司正式进入支付服务市场。苹果公司最近推出两个新的iPhone型号及Apple Watch，并同时公布了Apple Pay的细节，该应用程序允许用户使用近距离无线通信(NFC)技术进行付款。

苹果公司并未创建自己的支付基础架构，而是与Visa、MasterCard、American Express及多家主要发卡银行签订了交易协议。这些银行将在现有的支付卡网络上看到通过新iPhone手机完成的付款。

一键支付

新的iPhone 6用户无需解锁手机或启动某些应用程序，将手机靠近非接触式阅读器就可完成商品及服务费用的支付。当用户将手指放在苹果的Touch ID指纹传感器上，阅读器即可验证本次支付的金额和用户身份信息。

苹果公司宣称，在处理交易时不会使用实际的信用卡和借记卡卡号。取而代之的是，当用户在Apple Pay中添加支付卡时，会在手机里添加一个独特的“设备帐号”，并且该帐号将会被安全地存储在专用芯片中。这些帐号绝对不会被传输到苹果服务器。在处理付款时，用户会通过使用“设备帐号”和特定的当下交易一次性“动态安全码”来完成付款。

虽然非接触式支付和NFC集成技术在智能手机上并非首创，但此次应用在iPhone手机上也许意味着该项技术可能逐渐成为主流付款方式。这自然会吸引攻击者的注意力，近期美国发生的大型信用卡泄露事件就是以支付卡终端为主要的攻击目标。在某些情况中，安装在销售点(PoS)终端上的恶意软件导致了海量的客户支付卡详细信息被传输出去。

支付安全性或将得以提高

根据Gartner预测，Apple Pay应用可能会受到担心PoS终端泄露的商家的欢迎。使用Apple Pay意味着消费者无需将支付卡数据存储在手机上，相反，当他们准备付款时，发卡银行会向手机提供一次性令牌以启动支付流程。

Gartner的Avivah Litan表示，“令牌码并不是信用卡号。商家将因此获得很多安全优势，尤其是当他们无需接受、存储或传输实际的信用卡号，”她补充道，商家支付卡行业(PCI)的合规审计范围还将大幅缩小。Litan表示，由于犯罪分子无法重新使用一次性令牌码，所以不会费时费力地实施窃取，商家有可能会因此避免支付卡数据泄露事件。

为了确保Apple Pay可以被广泛采用，Gartner建议苹果公司在这个领域上继续努力。相比消费者，商家的接受程度往往才是成功的标志。考虑到大量的商家已花重金迁移到EMV（芯片和 PIN）终端或‘点对点’加密 (P2PE)，苹果公司可能需要向商家提供更多让利，例如降低手续费等。

其他专家也认为NFC移动支付可以减少PoS泄露。“苹果公司可以说是沉睡的电子钱包巨人，这个支付方式可以显著降低PCI DSS [数据安全标准]对于商家的影响。”Sysnet Global Solutions的Branden Williams告诉《福布斯》，“如果零售商只接受通过NFC P2PE终端进行的交易，我们可以想象，他们的大部分基础架构都可以被移除，并且不再成为主要的攻击目标。”

诸如Apple Pay这样的系统无疑可以弥补某些薄弱环节，而这些薄弱点曾为近期针对PoS系统的攻击打开了方便之门。但是，这不应当成为掉以轻心的理由。赛门铁克认为，一旦某个攻击途径被堵住，攻击者往往会找寻其他漏洞。倘若Apple Pay成为支付方法，攻击者很可能会针对NFC支付的安全性发起猛烈的攻击测试。