指紋識別離安全支付還有多遠?
2015年指紋識別成為智能手機的重要賣點,配置率節(jié)節(jié)攀升,有媒體預(yù)測2016年將達到50%的配置率。人行在2015年末正式將金融賬戶細分為3個安全等級,立法層面承認了數(shù)年來的金融創(chuàng)新嘗試,正式開閘。
本文引用地址:http://m.butianyuan.cn/article/201601/285341.htm支付寶的IOS版本和Android版本都可以進行指紋支付,卻有不同的待遇:在IOS設(shè)備認證一枚已注冊指紋后,所有注冊指紋都可用于支付;而在包括三星和華為的旗艦Android手機上認證一枚指紋后,只能用認證指紋進行支付,其余的注冊指紋皆不可使用。
這要鬧哪樣?更有甚者,微信和百度錢包在對IOS開放指紋支付的同時,無視了絕大部分裝載了指紋識別功能的Android手機。難道BAT要聯(lián)手起來粉IOS踩Android?要知道IOS是純美國范,Android陣營多的是中國智能手機,遭到歧視的到底是Google,是Qualcomm,還是國貨?
BAT當然沒有歧視誰的必要,都怪安全性不足惹的禍。2015年Black Hat大會上首次公開提出繞開不完全的安全體系對Android智能手機進行系統(tǒng)攻擊的概念。其中一種攻擊叫Fingerprint Backdoor,預(yù)先注冊一枚指紋,并在UI中隱藏該指紋使消費者無法得知其存在,當消費者賦予自己注冊的指紋某種權(quán)限時,該預(yù)置指紋就可能獲得該權(quán)限。所以支付寶必須對Android手機差別對待,否則就是向Fingerprint Backdoor攻擊打開大門。
那么IOS怎么防止此類系統(tǒng)攻擊呢?請參考蘋果公司在2014年2月發(fā)布的安全白皮書,提出了Secure Boot Chain、Secure Element、Secure Enclave、Touch ID、NFC Controller為支柱的硬件安全體系。這就是在Apple Pay背后支撐起終端安全的五大金剛,環(huán)環(huán)相扣。
先說Secure Boot Chain,這是基于硬件簽名校驗以確保操作系統(tǒng)和關(guān)鍵軟件不被篡改不被回滾的技術(shù)。蘋果自己開發(fā)CPU自己開發(fā)OS,軟硬搭配除了干活不累,信息安全也是手到擒來。再看Android,除了原生版本由Google發(fā)布,客制版本先經(jīng)AP商定制再由手機廠商修改發(fā)布,kernel里甚至植入第三方供應(yīng)商編寫的驅(qū)動代碼。此等情形,莫說Secure Boot,有沒有被插入惡意代碼都說不清。
再看Secure Element,作為全球公認的金融支付標準配置,到目前為止,支持Android的硬件平臺不但沒有集成,連專用接口都沒留。所以Google干脆推出HCE,虛擬化SE,也是迫于Android生態(tài)鏈刻意弱化SE這個無奈的現(xiàn)實。
接下來是Secure Enclave,這來自ARM的Trust Zone技術(shù)。在信息安全領(lǐng)域,安全技術(shù)往往被叫做Secure XXX,安全系統(tǒng)才可以叫做Trust XXX。蘋果在2013年基于ARM于2004年發(fā)布的Trust Zone技術(shù)設(shè)計了Secure Enclave,一個命名就把蘋果的實事求是和ARM的掩耳盜鈴告白于天下:把Secure XXX叫做Trust XXX的,乃意淫不上稅也。
最后是Touch ID和NFC Controller。IOS和Android陣營的區(qū)別在于,前者有密碼部件支持,后者用明文傳輸。2015年三星Galaxy S5被爆F(xiàn)inger Spy漏洞,用惡意APP控制Fingerprint Sensor即可直接竊取指紋圖像,說明其在信息安全上的幼稚程度。這并非個例,而是Android生態(tài)碎片化造就的普遍惡果。
如果假以時日Android陣營把蘋果使用的技術(shù)都學會是不是就夠了呢?要知道信息安全是在攻守中持續(xù)發(fā)展的技術(shù)領(lǐng)域,不存在一勞永逸的安全。Android產(chǎn)業(yè)鏈在信息安全建設(shè)上存在巨大的先天缺陷,正如下面這個段子:
話說瞎子背著瘸子趕路,瘸子突然大叫“溝!溝!溝!”,瞎子以為瘸子唱歌,應(yīng)道“阿勒,阿勒,阿勒”,然后瞎子背著瘸子沖溝里去了。這里講的是,雖然瞎子有腿瘸子有眼睛,但合起來也不能等同于功能健全的正常人,該掉溝就得掉溝。和蘋果公司相比,Android產(chǎn)業(yè)鏈在信息安全系統(tǒng)的架構(gòu)能力上正是這樣的天殘組合。
一旦發(fā)現(xiàn)了新的致命漏洞,蘋果和Android陣營分別會做什么呢?蘋果的五大金剛當然為自家的Apple Pay負責,第一時間響應(yīng),第一時間實施最優(yōu)的解決策略,可以立即停止舊版本IOS的支付功能推送新版本IOS,甚至把Apple Pay、iTunes Store和App Store暫時關(guān)閉來爭取時間。反觀要是Android手機底層漏洞威脅到了BAT的支付平臺,誰來補救,誰有能力補救,誰來組織補救呢?
平臺的開放性和信息安全是一對矛盾,一方面信息安全必須依賴于軟硬件深度結(jié)合和環(huán)環(huán)相扣的精細化設(shè)計,另一方面為了加速商業(yè)化需要建立以兼容性為基石的開發(fā)產(chǎn)業(yè)鏈模式。這個經(jīng)典的喬布斯與比爾蓋茨之爭,在今天仍然是科技發(fā)展中主要論題之一。蘋果公司是獨一無二的,微軟公司經(jīng)過這么多年的積累尚解決不好傳統(tǒng)PC的信息安全,Google推出Android才幾載,能怎么樣呢?只要繼續(xù)兼容性優(yōu)先,只要繼續(xù)碎片化,Android陣營各環(huán)節(jié)之間就免不了像瞎子和瘸子的組合一樣,一旦出事只能相互指責為豬隊友。
幸而,支付安全和手機安全是有交疊但不等同的兩件事,不見得必須啃下手機安全的硬骨頭才能實現(xiàn)支付安全。例如網(wǎng)銀U盾不就實現(xiàn)了超越PC安全的網(wǎng)絡(luò)銀行安全么?只要我們跳出終端安全的深坑,就會看到,安全支付只有兩個環(huán)節(jié):Trust UI和Trust Confirm。前者指支付平臺傳遞給消費者的交易信息是可信的,不會出現(xiàn)實際交易額10000元只給你看100元讓你以為撿到個便宜的事情;后者指消費者傳遞給支付平臺的確認是可信的,既不可偽造,也不可抵賴。指紋識別具備不可偽造和不可抵賴的特性,只要保護好調(diào)度、儲存、運算和傳輸就構(gòu)成Trust Confirm;再配合以Trust UI,支付平臺到人的直接互信連接就實現(xiàn)了。
在線下支付場景,Apple Pay提供了解決方案:用手機刷POS機,手機無須開機,由Touch ID + Secure Enclave + Secure Element + NFC提供Trust Confirm,POS機作為銀行終端提供Trust UI。在線上支付領(lǐng)域,網(wǎng)銀U盾的發(fā)展歷程也可作為借鑒:在1代U盾基礎(chǔ)上增加自帶屏幕引入Trust UI成為2代U盾;再將指紋識別引入實現(xiàn)Trust Confirm,就是有完整可信回路的3代U盾系統(tǒng)。2015年人行發(fā)文件要求各種支付途徑使用相同的技術(shù)體系避免重復(fù)建設(shè),其意所指,正是線下和線上支付系統(tǒng)應(yīng)具備技術(shù)統(tǒng)一性。在兩個環(huán)節(jié)之間,Trust UI的等效替代手段多樣,比如語音電話通知、短信等等,可以循序漸進,真正急迫的問題只Trust Confirm而已。
可惜,大多數(shù)國產(chǎn)Android智能手機在ARM為首的上游供應(yīng)商的鼓動下正急著投身Trust Zone的虛影之中,甚至無暇關(guān)注BAT們的冷眼相對。ARM的Trust Zone只能提供對運算的保護和對儲存的有限保護,完全無法實施對調(diào)度和傳輸?shù)谋Wo,這正是可以從調(diào)度和傳輸兩個角度進行系統(tǒng)攻擊的根源所在。Trust Zone的擁護者們把Trust Zone鼓吹為實現(xiàn)局部安全的保險箱,比完全不設(shè)防或全面壁壘高筑都更“優(yōu)(中)越(庸)”,這簡直是為了收License費用而編造的謬論。信息安全領(lǐng)域所考慮的永遠是攻防雙方的博弈,“部分安全”毫無價值。一個堡壘只要剩一扇門一道墻不守,就跟完全沒有防御一樣可以輕易攻破。僅2015年Black Hat大會上公布的系統(tǒng)攻擊就有Confused Attack、Storage Attack、Finger Spy和Fingerprint Backdoor四類之多,經(jīng)這腦洞大開的攻擊思路的提示,有多少聰明的Hacker能構(gòu)思出多少巧妙的攻擊組合不言而喻。系統(tǒng)攻擊一旦實施,竊賊根本不用進入堡壘,只要發(fā)號施令便使守衛(wèi)乖乖奉上金錢。既如此,那竊賊還進入堡壘干嘛?是否Trust Zone技術(shù)正是通過支持監(jiān)守自盜來免除自身的被攻擊價值,從而使Trust Zone的供應(yīng)方無技術(shù)責任之虞?
須知,“竊”的最高境界是“奴役”,使被竊者處于無知狀態(tài),可以長期割肉??珊薜牟恢故琴\人,也有失職的守衛(wèi),不但不加辨識的執(zhí)行命令將財產(chǎn)拱手出賣,還能使斷絕失竊者追回損失的機會:通過系統(tǒng)攻擊進行的非本人的支付行為,事后無法通過技術(shù)手段與本人的使用區(qū)分開,這就觸發(fā)本人手機上經(jīng)過本人指紋確認的支付行為的不可抵賴性。對支付平臺來說,盡管從技術(shù)和法律的角度都可以免責,但消費者終究會用腳來投票,棄用該手機品牌的同時,也棄用該支付平臺?!澳阕髂跷乙黄鸨澈阱仭?,商譽受損如何能容忍?所以BAT歧視國產(chǎn)Android手機的現(xiàn)實,必須發(fā)人深省。
Copy to China終究是下策,就算“拿來”也應(yīng)該拿先進而非落后。不調(diào)查研究卻人云亦云自愿上當,看不懂風險就編造說法忽視風險,正是中國產(chǎn)業(yè)升級道路之殤。只有根除懶惰和自卑,尊崇理性基于邏輯進行分析判斷,才能斷絕愚昧。幸而舊路的終點往往正是新途的起點,普遍匱乏中孕育著機遇,只有慧眼獨到者才能把握機遇,自創(chuàng)風口,迎難而上。
評論