黑客如何绕过Apple Pay安全性
当首席执行官蒂姆·库克 (Tim Cook) 吹捧苹果的新移动支付服务 “简单,安全和私密” 时,鉴于最近备受瞩目的黑客攻击,他至少部分解决了公众对公司安全基础架构的担忧。
尽管Apple pay尚未进行实际测试,但一些安全专家 (尽管普遍称赞Apple的举动是朝着正确方向迈出的一步) 已经确定了该系统固有的一些潜在风险。
Trustwave的安全顾问Chris Carlis说: “如果正确实施,它可能会增加安全利益,但也可能存在一些巨大的安全漏洞。”“我们将看到它如何在与敌人的最初接触中幸存下来。..这不会成为修复欺诈和安全的灵丹妙药。“
苹果在本周推出Apple pay时并没有详细描述Apple pay的安全方面。但是提到了一些事情,这为该公司计划如何确保用户数据安全提供了一些启示。
首先,苹果不打算将其用户的任何财务信息存储在其服务器或设备中。相反,该公司正在使用一种称为 “标记化” 的技术来识别付款用户。
标记化的工作原理是这样的: 当一个人将信用卡添加到存折时,而不是存储用户的实际信用卡号,生成另一个账号来识别用户。
然后,此仅用于设备的帐号将存储在iphone 6和iphone 6 plus中称为 “安全元素” 的新加密芯片中。(Apple Watch还将具有一个安全元件芯片,当与iphone 5,iphone 5s和iphone C一起使用时,该芯片将用于存储设备帐号)。
IT数据安全公司Coalfire的首席执行官兼首席安全策略师里克·达金 (Rick Dakin) 表示,这很重要,因为安全元素实际上位于设备中,而不是存储在苹果的服务器上。
阅读更多苹果股票在iphone 6上被降级,关注因为苹果不存储信用卡信息,它永远不会与商家共享。因此,如果零售商的系统遭到破坏,黑客将无法访问用户的财务信息。
鉴于最近对主要零售商的黑客攻击,这可能会被证明是非常有益的。但专家表示,其他风险仍然存在。
“这有助于防止核弹吗?是的。当您谈论Home Depot大小的漏洞时,这可能有助于防止大规模攻击中的破坏。”DocuSign信息安全主管Tom pageler说。
“但是风险将会更小。人们将找到尝试接管帐户的方法,无论是通过窃取电话还是使用社会工程来破解帐户,还是通过获得合法登录。”
Trustwave的管理顾问Mike park说,移动支付通常是通过应用程序或第三方附加组件完成的,只有少数是针对的。park通过电子邮件说,但是随着这种类型的支付功能内置到整个平台中,每台设备都成为目标。
当Apple pay推出时,研究人员 (和黑客) 将立即开始寻找弱点,毫无疑问,他们会发现缺陷,安全和风险管理公司Neohapsis的安全顾问Bob Doyle说。“每个人都想要一个更薄的钱包。但这样做的另一面是,它使移动设备比以前更加重要。”“甚至数字钱包也会被挑选出来。”
专家说,可能的安全风险可能源于苹果决定对第三方应用程序开发人员给予更多信任的决定。
pageler说,像Target,Uber和Groupon这样的公司将把Apple pay纳入其电子商务应用程序中,以方便购买,这是另一个潜在的安全风险。
根据Trustwave的全球安全报告,2013年扫描的96% 应用程序至少包含一个安全漏洞。
苹果高管在活动中还强调,在iphone 5s和两种型号的iphone 6中都可以使用Touch ID功能来验证付款,从而增加了一层安全性。但自从去年在iphone 5s上推出Touch ID以来,已经有指纹识别器被黑客入侵的实验。
此外,鉴于人们可以使用Apple Watch访问Apple pay (可以与没有Touch ID的旧型号iphone一起使用),因此使用支付服务不需要指纹安全功能。
多伊尔说: “现在判断存在安全弱点还为时过早。”“魔鬼总是在细节中。在我们看到协议之前,我们不知道漏洞是什么。“
苹果拒绝置评。