查看完整版本: Apple Pay疑点解答:指纹锁真能随便破解?[7P]

Apple Pay疑点解答:指纹锁真能随便破解?[7P]

上周笔者写过一篇关于 Apple Pay 的文章。由于篇幅所限，许多地方言不达意让网友产生了误解，所以就将有些争议的问题拎了出来，希望能够解释大家的疑惑。当然，毕竟不是银行业人士，谬误之处还望不吝指点。
[img]http://n.sinaimg.cn/tech/crawl/20160209/m_rd-fxpfhzn5805678.jpg[/img]
[color=rgb]一：支付宝与银联刷卡谁用得更多？[/color]
　　?[/b]用户评论：[/b]
　　　　「[/b]不管[url=http://weibo.com/alipay?zw=tech]支付宝[/url]的水军怎么吹，你去超市便利店专卖店餐厅看看，是用银联刷POS的人多还是用支付宝刷条码的人多...」[/b]
　　?[/b]编辑观点：[/b]
　　据易观智库发布的《中国移动支付市场2015年度综合报告》显示。在综合支付市场，银联仅以 35.87%的份额小胜支付宝的 33.18%；而在移动支付市场，支付宝是以 71.51% 的份额碾压银联的 0.49% ，相差悬殊。
[img]http://n.sinaimg.cn/tech/crawl/20160209/kMbT-fxpftya4455575.jpg[/img]
　　由于综合支付市场囊括了线上线下两块，银联的主要份额在线下POS机刷卡，支付宝则主要是线上网购，两者优势算是互相抵消。但是移动支付市场特指的是「使用手机进行的支付业务」，所以银联的份额才会这个样子。
　　虽然我们没法直接对比银联刷卡与支付宝线下支付的份额，但也能根据前一则数据粗略判断前者大于后者（毕竟支付宝的主要业务还是线上）。但这只是暂时的， 移动支付市场的发展极其迅猛，假若银联不抓住 Apple Pay/Samsung Pay 等新兴支付手段的机遇，那上述排名倒转过来也是很快的事情。
　　银联总裁时文朝也曾在公司内部发出的新年贺词中坦陈：
　　坦率地说，线上市场我们已经掉队，线下市场我们也无险可守，经营模式面临着颠覆性改变风险。
　　另据财新周刊数据显示，目前全国接受 NFC 改造的 POS 机为600万台，约占存量的 60%。而按照人民银行的部署，到2017年五月底，中国所有 POS 机都将支持 NFC 技术，所以现阶段引进 Apple Pay / Samsung 等新兴支付手段对于银联来说，有着非常重要的战略意义。
　　二：将银行账户交给外国公司安全吗？[/b]
　　?[/b]用户评论[/b]
　　「谈到安全 你愿意把你的密码账户交给一个外国公司吗？」。
　　?[/b]编辑观点[/b]
　　Apple Pay 是苹果产品，而苹果又是一家美国公司，如果从阴谋论的角度看，Apple Pay 确实有很大的遐想空间。但作为一个理性的读者，应该不难想到这种服务绝对会经过政府审查，查无问题才允许发行。况且苹果中国用户的数据是储存在中国电信服 务器当中，数据保存也相对安全。
[img]http://n.sinaimg.cn/tech/crawl/20160209/q6uh-fxpfhzk9157313.jpg[/img]
　　即便苹果真的有能力绕过中国政府审查，苹果或许也不会这么做。此前美国总统奥巴马就曾借着“预防恐怖袭击”之名要求苹果开放“后门”，然而蒂姆·库克坚决不同意，他说：
　　“毫无疑问，国家安全当然很重要。但现实情况是，如果你在软件中为好人放置了一个开放的后门，那坏人也能从中进入。”
　　在公开场合，蒂姆·库克也不止一次提到这个观点，所以我们不太能够相信苹果会甘冒风险作出盗窃用户数据的事情，这并不符合苹果的价值观，也不符合苹果的商业利益。
[img]http://n.sinaimg.cn/tech/crawl/20160209/zv_K-fxpfhzk9157315.png[/img]
　　其次 Apple Pay 在技术上，也是个“相互匿名”的系统。最开始在 iPhone SE 芯片内的银行卡信息，是以被卡组织加密过的 Token 形式存在，而且 SE 芯片本质上也是个本地芯片，不会上传到苹果服务器。即便苹果有后门可以窃取 Token，加密过的 Token 对苹果也只是一串随机数字，没有任何意义。
　　其次在交易流程中，在流转过程中银行卡信息也是以 Token 形式存在，仅有所属银行能够通过卡组织的 Token 服务还原出银行卡信息，所以在流程中苹果也是不可能知道你的银行卡信息的。
　　三：破解 iPhone 的指纹锁到底难不难？[/b]
　　?[/b]用户评论[/b]
　　　　「[/b]好 奇一个问题， 以指纹为唯一鉴权方式的话， 如果真有犯罪组织， 那么扫描 home 键上的残留指纹应该不难实现吧。 换言之， 他们可能会高价收购最新被偷的iphone, 制作指模盗取你账号里面的钱。 国外银行很容易在卡（手机）被盗以后通知止付不需要太担心， 国内银行的作派， 我看apple pay谈不上安全。」
　　?[/b]编辑观点[/b]
　　在Touch ID指纹锁推出后，确实有黑客试图破解并且成功了，但这并不代表普通人破解 Touch ID 也那么容易。如果仔细观察，你会发现破解需要用到图像扫描仪、激光打印机、蚀刻印刷电路板、高分辨率相机等多种工具，还需要拿到“清晰完整”的指纹（一般 使用 Touch ID 时是不可能留下完整指纹的）。
　　黑客 Starbug 破解 Touch ID 全过程
　　供职于移动安全公司 Lookout 的马克·罗杰斯(Marc Rogers)模仿黑客 Starbug 破解 Touch ID 之后，写了一篇名为“为什么我破解了苹果的TouchID，但还是觉得它很棒（Why I Hacked Apple’s TouchID, And Still Think It Is Awesome)”的文章。
[img]http://n.sinaimg.cn/tech/crawl/20160209/yIcC-fxpfhzk9157317.png[/img]
　　他在文中描述说：“实际上，这种攻击仍有点像是约翰·勒卡雷(John le Carré)小说里的情节，绝对不是普通街头混混所能办到的，而且窃贼也需要很好的运气，因为只有五次尝试机会，之后 TouchID 就不再接受任何指纹，要再输入 PIN 码才能解锁。”
　　纽约时报也持同样态度：“如果一个人有这样充足的时间与资源来监视并收集你的数据，那伪造指纹可不会是他的第一选择，直接拿把刀威胁你倒是更省时间精力的做法。”
　　Touch ID就像门锁一样，我们当然不会因为门锁能被锁匠破坏就不去用它。当然如果你担心指纹被盗的话，同样也可以使用数字密码，但这样你就得防范最古老的物理（偷瞄）盗窃了。
　　四：Apple Pay 与支付宝是否都需要网络支持？[/b]
　　?[/b]用户评论[/b]
　　　　「[/b]一个联网就能支付，一个要有POS机才能支付，你说哪个方便。」
　　?[/b]编辑观点[/b]
　　前文中，笔者在“可用范围”处漏掉了网络因素，实际上 Apple Pay 与支付宝/微信都是可以不联网完成支付的。
　　Apple Pay 能离线支付很好理解，因为 Apple Pay 就“相当于”一张银行卡。
[img]http://n.sinaimg.cn/tech/crawl/20160209/erfN-fxpftya4455577.jpg[/img]
　　实体银行卡是通过刷卡（磁条或芯片作为媒介）将付款信息传输到银联网络完成付款；而 Apple Pay 是通过近距离接触（NFC 信息作为媒介）将付款信息传输到银联网络完成付款，两者扣款阶段流程相同，只是发起支付的方式不同，所以均对网络环境没有要求。
　　支付宝与微信虽然支持离线支付功能，但支付形态上的差异，还是有一定限制。你可以尝试先开启手机的飞行模式，再打开支付宝或微信的付款码，你会发现这两者在离线状态下依然会「动态更新」，即“发起付款”并不依赖网络环境，这与 Apple Pay 类似。
[img]http://n.sinaimg.cn/tech/crawl/20160209/L-1e-fxpfhzk9157319.png[/img]
　　但问题在于支付宝与微信都存在“免密”与“验密”两种模式。当一些条件（支付金额过大，交易次数过多等）被触发时，支付宝或微信就要重新通过网络渠道进 行一次密码鉴权，这样的模式就需要手机网络保持畅通。相比之下，Apple Pay 在离线（用户端）时的可用性更高。
　　结语[/b]
　　Apple Pay 距离我们已经不远，而其技术的先进性也是毋庸置疑。和支付宝/微信相比，苹果倒是更有理由保护使用者的隐私，而且它们也在技术上做到了这点。假如你也是 iPhone 用户，真的不妨试用一下 Apple Pay，相信它应该会给你带来不错的支付体验。

指纹识别不保险，特别是手机端的识别更不保险。
Apple pay这种电子钱包的安全绝对是问题。

这种破解并不是破解手机里的apple pay数据库来获取指纹信息，就目前所有支持指纹支付的手机来说，apple的方案是目前最安全的，没有之一

apple pay还是很安全的，目前也很期待看看过年之后国内什么时候开通。说真的，如果使用了apple pay之后，手机还真不敢随便越狱了。