奥义思 5月30日 国际报道 当地时间上周五,Google发布Google Wallet移动支付网站建设站建设计划,今年夏季将通过安装NFC芯片的Nexus S智能手机在旧金山和纽约试点。该系统允许内置NFC芯片的智能手机采用无线技术将交易数据短距离发送至零售店的专用NFC读卡器上。
这意味着人们在读卡器前晃动Android手机就能够完成信用卡或借记卡刷卡及现金支付任务。这类“电子钱包”将为消费者带来便捷,将钱和借记卡放在家中。但其安全性究竟如何,下面的常见问题解答将为人们进行解疑答惑。
1、Google Wallet工作流程是什么?
网站建设站建设用户支付卡卡号和交易信息经过加密后存储在NXP提供的智能手机上的一颗防干扰芯片上。Google将该芯片称为Secure Element,要求消费者输入一个PIN码(个人识别码)后打开Google Wallet应用进行交易。
Google在Google Wallet官方网站建设站上称:“Secure Element可被视为一台独立的计算机,能够运行程序、存储数据。Secure Element独立于网站建设站建设用户Android手机内存。Secure Element只允许可信任软件访问已存储的支付凭证。MasterCard PayPass的安全加密技术在网站建设站建设用户从手机向非接触式读卡器传输数据时为支付卡凭证提供保护。”
2、如果我忘记了PIN码该怎么办?
Google支付副总裁奥萨马·贝迪尔(Osama Bedier)在回应该问题的一封电子邮件中称:“为安全起见,网站建设站建设用户需要重新设置Wallet和信用卡。我们正在积极设计一种更友好的网站建设站建设用户重新设置机制,一旦投入使用后,我们将披露更多有关该功能的信息。”
3、如果我的智能手机丢失该怎么办?
如果你的智能手机上了锁,捡到者需要获悉你的PIN码后才能使用手机,并需知道你的Google Wallet PIN码后才能访问你的财务数据。
贝迪尔说:“Wallet PIN对进入Wallet Application有保护作用。如果一位网站建设站建设用户多次输入不正确PIN码,Secure Element将禁用,无法支付,只有在发卡行、Trusted Service
4、罪犯能够创建一个象ATM诈骗那样的假冒NFC读卡器网站建设站建设用户界面吗?
贝迪尔说:“罪犯试图诈骗NFC支付卡或手机的行为一直存在,但Google Wallet提供了传统塑料NFC支付卡所不具备的两种对策。第一种对策为在启用NFC天线之前,手机显示屏需要开启电源如照明;第二种对策为网站建设站建设用户在向读卡器发出凭证之前需要输入Wallet PIN。这意味着网站建设站建设用户在发送支付凭证时必须首先确定是否支付。”
贝迪尔强调:“除了Google Wallet本身的安全功能外,我们的合作伙伴还提供欺诈分析功能,帮助识别欺诈性交易,并在此类交易发生时加以阻止。与当前市场上广泛推行的标准塑料信用卡相比,Google Wallet和我们合作伙伴提供的欺诈分析系统将为消费者提供更好的保护”
5、Google Wallet是否会像Wi-Fi网站建设络那样存在数据盗窃或拦截式攻击?
鉴于交易发生时间短、手机和读卡器之间距离小,这类攻击的可能性极小。
贝迪尔说:“典型的拦截式攻击非常困难,因为NFC无线电频率范围受限。在发送支付凭证时,Mastercard PayPass协议还提供了又一层保护,PayPass协议控制移动支付的交互作用。当然,我们一直在评估整个Wallet软件生态系统的安全,不断提高其安全性。”
6、如果我无意中通过网站建设络或恶意件附件将一款木马病毒或恶意件下载至智能手机,而病毒本身就是窃取信用卡数据、攻击交易的话,我该怎么办?
贝迪尔说:“如果恶意件感染手机操作系统,Secure Element的设计宗旨是保护凭证。Secure Element操作系统和Secure Element中包含的数据与手机操作系统隔离。实际上,Secure Element硬件与手机上的其它存储机制隔离。另外,手机操作系统不具备读取Secure Element上数据的功能。”
一位安全专家对Secure Element在受恶意件感染的手机上的保护作用提出质疑。
电子前沿基金会(Electronic Frontier Foundation)技术主管克里斯·帕尔默(Chris Palmer)曾是Google前高级软件工程师,负责Android安全工作。帕尔默说:“如果坏人控制了网站建设站建设用户手机,就能够控制Secure Element,信用卡信息存储在安全芯片上也就失去意义。他们会在网站建设站建设用户发送数据时窃取网站建设站建设用户凭证。”
一名NXP女发言人发表电子邮件声明说:“Secure Element不会遭到恶意件感染。网站建设站建设用户在访问Secure Element时必须经过认证,其架构与手机系统的其它部分通过防火墙隔离。该技术类似于电子护照采用的高安全解决方案。”
目前为止,恶意件感染似乎是最大担忧,人们非常容易受骗点击恶意链接或打开恶意附件。
大量设备未运行最新软件也是恶意件肆虐的原因之一。例如,研究人员本月初发现一个与Google Calendar和Contacts相关的Android缺陷,能够窥探Wi-Fi网站建设络上的数据。受影响Android设备中,99.7%运行的是老版软件。Google迅速推出修复补丁,但该问题凸显了移动网站建设站建设用户受软件更新及安全补丁发布日期的影响。
帕尔默说:“大量手机未安装最新版补丁。我们将面临这种状况——大量网站建设站建设用户在不安全的、未安装最新补丁的手机上运行Google Wallet。”
人们对移动设备的依赖性越大,犯罪分子将越把注意力集中到移动设备上。研究人员已经在一款宏达电Android手机上发现一款僵尸病毒及以Symbian为攻击目标的Zeus银行木马病毒。
7、但Google Wallet仍较我们目前携带的普通钱包安全,对吗?
扒手可随时窃取人们的钱包,肆无忌惮地花费现金或刷卡消费,无需认证;商店中的不法分子能够在引起你怀疑之前轻松盗用信用卡号。因此,使用PIN码上锁、对手机加密的电子钱包较携带普通钱包更安全。
移动安全厂商Lookout CEO约翰·郝林(John Hering)说:“即使你需要密切关注存储在手机上的数据安全,但其好处远超所面临的风险。”
|
