Apple Pay疑点解答:指纹锁真能随便破解?

一:支付宝与银联刷卡谁用得更多?

用户评论:

  「不管支付宝的水军怎么吹,你去超市便利店专卖店餐厅看看,是用银联刷POS的人多还是用支付宝刷条码的人多…

编辑观点:

据易观智库发布的《中国移动支付市场2015年度综合报告》显示。在综合支付市场,银联仅以 35.87%的份额小胜支付宝的 33.18%;而在移动支付市场,支付宝是以 71.51% 的份额碾压银联的 0.49% ,相差悬殊。

由于综合支付市场囊括了线上线下两块,银联的主要份额在线下POS机刷卡,支付宝则主要是线上网购,两者优势算是互相抵消。但是移动支付市场特指的是「使用手机进行的支付业务」,所以银联的份额才会这个样子。

虽然我们没法直接对比银联刷卡与支付宝线下支付的份额,但也能根据前一则数据粗略判断前者大于后者(毕竟支付宝的主要业务还是线上)。但这只是 暂时的, 移动支付市场的发展极其迅猛,假若银联不抓住 Apple Pay/Samsung Pay 等新兴支付手段的机遇,那上述排名倒转过来也是很快的事情。

银联总裁时文朝也曾在公司内部发出的新年贺词中坦陈:

坦率地说,线上市场我们已经掉队,线下市场我们也无险可守,经营模式面临着颠覆性改变风险。

另据财新周刊数据显示,目前全国接受 NFC 改造的 POS 机为600万台,约占存量的 60%。而按照人民银行的部署,到2017年五月底,中国所有 POS 机都将支持 NFC 技术,所以现阶段引进 Apple Pay / Samsung 等新兴支付手段对于银联来说,有着非常重要的战略意义。

二:将银行账户交给外国公司安全吗?

用户评论

「谈到安全 你愿意把你的密码账户交给一个外国公司吗?」。

编辑观点

Apple Pay 是苹果产品,而苹果又是一家美国公司,如果从阴谋论的角度看,Apple Pay 确实有很大的遐想空间。但作为一个理性的读者,应该不难想到这种服务绝对会经过政府审查,查无问题才允许发行。况且苹果中国用户的数据是储存在中国电信服 务器当中,数据保存也相对安全。

即便苹果真的有能力绕过中国政府审查,苹果或许也不会这么做。此前美国总统奥巴马就曾借着“预防恐怖袭击”之名要求苹果开放“后门”,然而蒂姆·库克坚决不同意,他说:

“毫无疑问,国家安全当然很重要。但现实情况是,如果你在软件中为好人放置了一个开放的后门,那坏人也能从中进入。”

在公开场合,蒂姆·库克也不止一次提到这个观点,所以我们不太能够相信苹果会甘冒风险作出盗窃用户数据的事情,这并不符合苹果的价值观,也不符合苹果的商业利益。

其次 Apple Pay 在技术上,也是个“相互匿名”的系统。最开始在 iPhone SE 芯片内的银行卡信息,是以被卡组织加密过的 Token 形式存在,而且 SE 芯片本质上也是个本地芯片,不会上传到苹果服务器。即便苹果有后门可以窃取 Token,加密过的 Token 对苹果也只是一串随机数字,没有任何意义。

其次在交易流程中,在流转过程中银行卡信息也是以 Token 形式存在,仅有所属银行能够通过卡组织的 Token 服务还原出银行卡信息,所以在流程中苹果也是不可能知道你的银行卡信息的。

三:破解 iPhone 的指纹锁到底难不难?

用户评论

  「好奇一个问题, 以指纹为唯一鉴权方式的话, 如果真有犯罪组织, 那么扫描 home 键上的残留指纹应该不难实现吧。 换言之, 他们可能会高价收购最新被偷的iphone, 制作指模盗取你账号里面的钱。 国外银行很容易在卡(手机)被盗以后通知止付不需要太担心, 国内银行的作派, 我看apple pay谈不上安全。」

编辑观点

在Touch ID指纹锁推出后,确实有黑客试图破解并且成功了,但这并不代表普通人破解 Touch ID 也那么容易。如果仔细观察,你会发现破解需要用到图像扫描仪、激光打印机、蚀刻印刷电路板、高分辨率相机等多种工具,还需要拿到“清晰完整”的指纹(一般 使用 Touch ID 时是不可能留下完整指纹的)。

黑客 Starbug 破解 Touch ID 全过程

供职于移动安全公司 Lookout 的马克·罗杰斯(Marc Rogers)模仿黑客 Starbug 破解 Touch ID 之后,写了一篇名为“为什么我破解了苹果的TouchID,但还是觉得它很棒(Why I Hacked Apple’s TouchID, And Still Think It Is Awesome)”的文章。

他在文中描述说:“实际上,这种攻击仍有点像是约翰·勒卡雷(John le Carré)小说里的情节,绝对不是普通街头混混所能办到的,而且窃贼也需要很好的运气,因为只有五次尝试机会,之后 TouchID 就不再接受任何指纹,要再输入 PIN 码才能解锁。”

纽约时报也持同样态度:“如果一个人有这样充足的时间与资源来监视并收集你的数据,那伪造指纹可不会是他的第一选择,直接拿把刀威胁你倒是更省时间精力的做法。”

Touch ID就像门锁一样,我们当然不会因为门锁能被锁匠破坏就不去用它。当然如果你担心指纹被盗的话,同样也可以使用数字密码,但这样你就得防范最古老的物理(偷瞄)盗窃了。

四:Apple Pay 与支付宝是否都需要网络支持?

用户评论

  「一个联网就能支付,一个要有POS机才能支付,你说哪个方便。」

编辑观点

前文中,笔者在“可用范围”处漏掉了网络因素,实际上 Apple Pay 与支付宝/微信都是可以不联网完成支付的。

Apple Pay 能离线支付很好理解,因为 Apple Pay 就“相当于”一张银行卡。

实体银行卡是通过刷卡(磁条或芯片作为媒介)将付款信息传输到银联网络完成付款;而 Apple Pay 是通过近距离接触(NFC 信息作为媒介)将付款信息传输到银联网络完成付款,两者扣款阶段流程相同,只是发起支付的方式不同,所以均对网络环境没有要求。

支付宝与微信虽然支持离线支付功能,但支付形态上的差异,还是有一定限制。你可以尝试先开启手机的飞行模式,再打开支付宝或微信的付款码,你会发现这两者在离线状态下依然会「动态更新」,即“发起付款”并不依赖网络环境,这与 Apple Pay 类似。

但问题在于支付宝与微信都存在“免密”与“验密”两种模式。当一些条件(支付金额过大,交易次数过多等)被触发时,支付宝或微信就要重新通过网 络渠道进 行一次密码鉴权,这样的模式就需要手机网络保持畅通。相比之下,Apple Pay 在离线(用户端)时的可用性更高。

结语

Apple Pay 距离我们已经不远,而其技术的先进性也是毋庸置疑。和支付宝/微信相比,苹果倒是更有理由保护使用者的隐私,而且它们也在技术上做到了这点。假如你也是 iPhone 用户,真的不妨试用一下 Apple Pay,相信它应该会给你带来不错的支付体验。