指紋識(shí)別離安全支付還有多遠(yuǎn)?
2015年指紋識(shí)別成為智能手機(jī)的重要賣點(diǎn),配置率節(jié)節(jié)攀升,有媒體預(yù)測2016年將達(dá)到50%的配置率。人行在2015年末正式將金融賬戶細(xì)分為3個(gè)安全等級(jí),立法層面承認(rèn)了數(shù)年來的金融創(chuàng)新嘗試,正式開閘。
本文引用地址:http://m.butianyuan.cn/article/201601/285341.htm支付寶的IOS版本和Android版本都可以進(jìn)行指紋支付,卻有不同的待遇:在IOS設(shè)備認(rèn)證一枚已注冊(cè)指紋后,所有注冊(cè)指紋都可用于支付;而在包括三星和華為的旗艦Android手機(jī)上認(rèn)證一枚指紋后,只能用認(rèn)證指紋進(jìn)行支付,其余的注冊(cè)指紋皆不可使用。
這要鬧哪樣?更有甚者,微信和百度錢包在對(duì)IOS開放指紋支付的同時(shí),無視了絕大部分裝載了指紋識(shí)別功能的Android手機(jī)。難道BAT要聯(lián)手起來粉IOS踩Android?要知道IOS是純美國范,Android陣營多的是中國智能手機(jī),遭到歧視的到底是Google,是Qualcomm,還是國貨?
BAT當(dāng)然沒有歧視誰的必要,都怪安全性不足惹的禍。2015年Black Hat大會(huì)上首次公開提出繞開不完全的安全體系對(duì)Android智能手機(jī)進(jìn)行系統(tǒng)攻擊的概念。其中一種攻擊叫Fingerprint Backdoor,預(yù)先注冊(cè)一枚指紋,并在UI中隱藏該指紋使消費(fèi)者無法得知其存在,當(dāng)消費(fèi)者賦予自己注冊(cè)的指紋某種權(quán)限時(shí),該預(yù)置指紋就可能獲得該權(quán)限。所以支付寶必須對(duì)Android手機(jī)差別對(duì)待,否則就是向Fingerprint Backdoor攻擊打開大門。
那么IOS怎么防止此類系統(tǒng)攻擊呢?請(qǐng)參考蘋果公司在2014年2月發(fā)布的安全白皮書,提出了Secure Boot Chain、Secure Element、Secure Enclave、Touch ID、NFC Controller為支柱的硬件安全體系。這就是在Apple Pay背后支撐起終端安全的五大金剛,環(huán)環(huán)相扣。
先說Secure Boot Chain,這是基于硬件簽名校驗(yàn)以確保操作系統(tǒng)和關(guān)鍵軟件不被篡改不被回滾的技術(shù)。蘋果自己開發(fā)CPU自己開發(fā)OS,軟硬搭配除了干活不累,信息安全也是手到擒來。再看Android,除了原生版本由Google發(fā)布,客制版本先經(jīng)AP商定制再由手機(jī)廠商修改發(fā)布,kernel里甚至植入第三方供應(yīng)商編寫的驅(qū)動(dòng)代碼。此等情形,莫說Secure Boot,有沒有被插入惡意代碼都說不清。
再看Secure Element,作為全球公認(rèn)的金融支付標(biāo)準(zhǔn)配置,到目前為止,支持Android的硬件平臺(tái)不但沒有集成,連專用接口都沒留。所以Google干脆推出HCE,虛擬化SE,也是迫于Android生態(tài)鏈刻意弱化SE這個(gè)無奈的現(xiàn)實(shí)。
接下來是Secure Enclave,這來自ARM的Trust Zone技術(shù)。在信息安全領(lǐng)域,安全技術(shù)往往被叫做Secure XXX,安全系統(tǒng)才可以叫做Trust XXX。蘋果在2013年基于ARM于2004年發(fā)布的Trust Zone技術(shù)設(shè)計(jì)了Secure Enclave,一個(gè)命名就把蘋果的實(shí)事求是和ARM的掩耳盜鈴告白于天下:把Secure XXX叫做Trust XXX的,乃意淫不上稅也。
最后是Touch ID和NFC Controller。IOS和Android陣營的區(qū)別在于,前者有密碼部件支持,后者用明文傳輸。2015年三星Galaxy S5被爆F(xiàn)inger Spy漏洞,用惡意APP控制Fingerprint Sensor即可直接竊取指紋圖像,說明其在信息安全上的幼稚程度。這并非個(gè)例,而是Android生態(tài)碎片化造就的普遍惡果。
如果假以時(shí)日Android陣營把蘋果使用的技術(shù)都學(xué)會(huì)是不是就夠了呢?要知道信息安全是在攻守中持續(xù)發(fā)展的技術(shù)領(lǐng)域,不存在一勞永逸的安全。Android產(chǎn)業(yè)鏈在信息安全建設(shè)上存在巨大的先天缺陷,正如下面這個(gè)段子:
話說瞎子背著瘸子趕路,瘸子突然大叫“溝!溝!溝!”,瞎子以為瘸子唱歌,應(yīng)道“阿勒,阿勒,阿勒”,然后瞎子背著瘸子沖溝里去了。這里講的是,雖然瞎子有腿瘸子有眼睛,但合起來也不能等同于功能健全的正常人,該掉溝就得掉溝。和蘋果公司相比,Android產(chǎn)業(yè)鏈在信息安全系統(tǒng)的架構(gòu)能力上正是這樣的天殘組合。
一旦發(fā)現(xiàn)了新的致命漏洞,蘋果和Android陣營分別會(huì)做什么呢?蘋果的五大金剛當(dāng)然為自家的Apple Pay負(fù)責(zé),第一時(shí)間響應(yīng),第一時(shí)間實(shí)施最優(yōu)的解決策略,可以立即停止舊版本IOS的支付功能推送新版本IOS,甚至把Apple Pay、iTunes Store和App Store暫時(shí)關(guān)閉來爭取時(shí)間。反觀要是Android手機(jī)底層漏洞威脅到了BAT的支付平臺(tái),誰來補(bǔ)救,誰有能力補(bǔ)救,誰來組織補(bǔ)救呢?
平臺(tái)的開放性和信息安全是一對(duì)矛盾,一方面信息安全必須依賴于軟硬件深度結(jié)合和環(huán)環(huán)相扣的精細(xì)化設(shè)計(jì),另一方面為了加速商業(yè)化需要建立以兼容性為基石的開發(fā)產(chǎn)業(yè)鏈模式。這個(gè)經(jīng)典的喬布斯與比爾蓋茨之爭,在今天仍然是科技發(fā)展中主要論題之一。蘋果公司是獨(dú)一無二的,微軟公司經(jīng)過這么多年的積累尚解決不好傳統(tǒng)PC的信息安全,Google推出Android才幾載,能怎么樣呢?只要繼續(xù)兼容性優(yōu)先,只要繼續(xù)碎片化,Android陣營各環(huán)節(jié)之間就免不了像瞎子和瘸子的組合一樣,一旦出事只能相互指責(zé)為豬隊(duì)友。
幸而,支付安全和手機(jī)安全是有交疊但不等同的兩件事,不見得必須啃下手機(jī)安全的硬骨頭才能實(shí)現(xiàn)支付安全。例如網(wǎng)銀U盾不就實(shí)現(xiàn)了超越PC安全的網(wǎng)絡(luò)銀行安全么?只要我們跳出終端安全的深坑,就會(huì)看到,安全支付只有兩個(gè)環(huán)節(jié):Trust UI和Trust Confirm。前者指支付平臺(tái)傳遞給消費(fèi)者的交易信息是可信的,不會(huì)出現(xiàn)實(shí)際交易額10000元只給你看100元讓你以為撿到個(gè)便宜的事情;后者指消費(fèi)者傳遞給支付平臺(tái)的確認(rèn)是可信的,既不可偽造,也不可抵賴。指紋識(shí)別具備不可偽造和不可抵賴的特性,只要保護(hù)好調(diào)度、儲(chǔ)存、運(yùn)算和傳輸就構(gòu)成Trust Confirm;再配合以Trust UI,支付平臺(tái)到人的直接互信連接就實(shí)現(xiàn)了。
在線下支付場景,Apple Pay提供了解決方案:用手機(jī)刷POS機(jī),手機(jī)無須開機(jī),由Touch ID + Secure Enclave + Secure Element + NFC提供Trust Confirm,POS機(jī)作為銀行終端提供Trust UI。在線上支付領(lǐng)域,網(wǎng)銀U盾的發(fā)展歷程也可作為借鑒:在1代U盾基礎(chǔ)上增加自帶屏幕引入Trust UI成為2代U盾;再將指紋識(shí)別引入實(shí)現(xiàn)Trust Confirm,就是有完整可信回路的3代U盾系統(tǒng)。2015年人行發(fā)文件要求各種支付途徑使用相同的技術(shù)體系避免重復(fù)建設(shè),其意所指,正是線下和線上支付系統(tǒng)應(yīng)具備技術(shù)統(tǒng)一性。在兩個(gè)環(huán)節(jié)之間,Trust UI的等效替代手段多樣,比如語音電話通知、短信等等,可以循序漸進(jìn),真正急迫的問題只Trust Confirm而已。
可惜,大多數(shù)國產(chǎn)Android智能手機(jī)在ARM為首的上游供應(yīng)商的鼓動(dòng)下正急著投身Trust Zone的虛影之中,甚至無暇關(guān)注BAT們的冷眼相對(duì)。ARM的Trust Zone只能提供對(duì)運(yùn)算的保護(hù)和對(duì)儲(chǔ)存的有限保護(hù),完全無法實(shí)施對(duì)調(diào)度和傳輸?shù)谋Wo(hù),這正是可以從調(diào)度和傳輸兩個(gè)角度進(jìn)行系統(tǒng)攻擊的根源所在。Trust Zone的擁護(hù)者們把Trust Zone鼓吹為實(shí)現(xiàn)局部安全的保險(xiǎn)箱,比完全不設(shè)防或全面壁壘高筑都更“優(yōu)(中)越(庸)”,這簡直是為了收License費(fèi)用而編造的謬論。信息安全領(lǐng)域所考慮的永遠(yuǎn)是攻防雙方的博弈,“部分安全”毫無價(jià)值。一個(gè)堡壘只要剩一扇門一道墻不守,就跟完全沒有防御一樣可以輕易攻破。僅2015年Black Hat大會(huì)上公布的系統(tǒng)攻擊就有Confused Attack、Storage Attack、Finger Spy和Fingerprint Backdoor四類之多,經(jīng)這腦洞大開的攻擊思路的提示,有多少聰明的Hacker能構(gòu)思出多少巧妙的攻擊組合不言而喻。系統(tǒng)攻擊一旦實(shí)施,竊賊根本不用進(jìn)入堡壘,只要發(fā)號(hào)施令便使守衛(wèi)乖乖奉上金錢。既如此,那竊賊還進(jìn)入堡壘干嘛?是否Trust Zone技術(shù)正是通過支持監(jiān)守自盜來免除自身的被攻擊價(jià)值,從而使Trust Zone的供應(yīng)方無技術(shù)責(zé)任之虞?
須知,“竊”的最高境界是“奴役”,使被竊者處于無知狀態(tài),可以長期割肉??珊薜牟恢故琴\人,也有失職的守衛(wèi),不但不加辨識(shí)的執(zhí)行命令將財(cái)產(chǎn)拱手出賣,還能使斷絕失竊者追回?fù)p失的機(jī)會(huì):通過系統(tǒng)攻擊進(jìn)行的非本人的支付行為,事后無法通過技術(shù)手段與本人的使用區(qū)分開,這就觸發(fā)本人手機(jī)上經(jīng)過本人指紋確認(rèn)的支付行為的不可抵賴性。對(duì)支付平臺(tái)來說,盡管從技術(shù)和法律的角度都可以免責(zé),但消費(fèi)者終究會(huì)用腳來投票,棄用該手機(jī)品牌的同時(shí),也棄用該支付平臺(tái)。“你作孽我一起背黑鍋”,商譽(yù)受損如何能容忍?所以BAT歧視國產(chǎn)Android手機(jī)的現(xiàn)實(shí),必須發(fā)人深省。
Copy to China終究是下策,就算“拿來”也應(yīng)該拿先進(jìn)而非落后。不調(diào)查研究卻人云亦云自愿上當(dāng),看不懂風(fēng)險(xiǎn)就編造說法忽視風(fēng)險(xiǎn),正是中國產(chǎn)業(yè)升級(jí)道路之殤。只有根除懶惰和自卑,尊崇理性基于邏輯進(jìn)行分析判斷,才能斷絕愚昧。幸而舊路的終點(diǎn)往往正是新途的起點(diǎn),普遍匱乏中孕育著機(jī)遇,只有慧眼獨(dú)到者才能把握機(jī)遇,自創(chuàng)風(fēng)口,迎難而上。
評(píng)論