4月8日,OpenSSL“心脏出血”安全漏洞大范围爆发,国内超过3万台主机受到波及,以https开头的网站中,有不少于30%的网站中招,其中包括大家最常用的购物、网银、社交、门户等知名网站,而在手机APP的网银客户端中,则至少50%存在风险。该事件中,受到攻击的主机,大量用户数据被攻击方抓取。
国内的淘宝、网易等大型互联网公司也未能幸免,因此OpenSSL“心脏出血”事件被业内视为一次网络安全的里程碑事件。
来谊电子CEO徐海光接受21世纪经济报道专访时表示,对于普通用户而言,数据泄露的最严重后果之一便是威胁网络支付安全,即黑客可以利用其数据资料操控互联网账户。而关键问题在于,在目前互联网支付的安全认证模式下,一旦发生这种情况,用户资金很容易被转走。
此次事件后,网络支付和移动支付安全问题再次被推上风口浪尖。在之前央行接连发文叫停包括微信支付、支付宝钱包、虚拟信用卡在内的支付方式中,也着重提到了移动支付的安全问题。
以微信支付、支付宝钱包、银行手机移动客户端为代表的新型支付方式近两年发展迅猛,当前市场和企业更多的关注和改善此类支付方式的便捷性,其安全性却并未同步发展。徐海光表示,支付领域,便捷性和安全性某种程度上存在矛盾,因此必须平衡好两者的关系。他称,尤其对于移动支付,目前通用的做法都是短信验证方式,这极易被黑客劫持。
也正因此,浸淫支付行业多年的徐海光开始关注移动支付安全领域,并于去年年底开发出一款基于“云端+APP”形式的“小微封”产品。据其介绍,该产品通过“时间+设备+地点”三个维度进行身份认证,并且以“双通道”的技术方式防止黑客劫持。
在传统模式中,包括银行、第三方支付机构均由自己负责支付与安全认证,而进入互联网金融时代,第三方安全认证服务商也开始出现。
安全认证的漏洞
徐海光告诉记者,移动互联网环境下,现有的身份识别方式基于客户预留手机号的短信验证,一旦手机卡被复制或验证短信被劫持转发等情况发生,犯罪分子可以非法控制被害人的手机银行。
他介绍说,在使用网络支付时,后台的运行原理可以简单理解为,用户通过手机、PAD、电脑等终端向银行服务器发出支付指令,包括支付金额、接收账户等;同时银行服务器会发出验证指令,目前通用的方式即发送短信验证码或者使用动态密码令牌。
验证指令即对操作人的身份认证,确认是否为持卡人操作,而这正是互联网时代最大的难点。传统的刷卡支付,银行和第三方通过卡道进行身份认证,如果要进行盗刷,违法分子必须获得物理卡。而在互联网时代,因为银行无法判断电脑、手机等终端设备的后面是否是持卡人,也无需物理卡,只要账号、密码、验证码正确即可进行操作,安全风险增加。
如果一旦用户的账户、密码、手机号码等数据泄露,违法分子即可通过劫持银行发出的验证指令(短信验证码或动态密码)到自己手机上,从而完成资金转移。徐海光同时称,目前流行的二维码支付同样存在安全风险。
以目前最火的微信支付和支付宝钱包为例,其支付方式大致分为两种:手机绑定的账户生成二维码,商户以扫码抢扫描收款以及商品生成二维码后,手机直接扫码支付。对于前者,一旦用户手机上生成二维码的账户被盗用,同样可以被盗用者拿去消费,无论前端支付形式是二维码、条形码还是NFC,本质上还是一个账户。而后者,徐海光表示,现在一些违法分子会在二维码中植入病毒,一旦用户扫描后,其将不断地获取用户数据,同样可以盗用产生二维码的账户。
设备指纹认证
显然,网络支付时代,人、设备、账户共同形成一个链条,当账户数据泄露,被他人操作时,账户不变,人和设备发生转移。而徐海光介绍的“小微封”则通过设备指纹将设备这一环节固定,即使数据泄露,在其它设备上也无法操作账户。
按照他的介绍,通过小微封APP,其服务器可以采集到硬件指纹、软件指纹和行为指纹。每台电脑或手机,各个配件都拥有不同的序列号,小微封将此作为设备指纹进行采集。如果手机账户信息泄露,违法分子在其它设备上也无法进行操作。
软件指纹则针对设备中所安装的软件信息进行采集,比如电子波纹。如果操作账户的设备中所装软件无法与小微封服务器中的数据匹配,同样无法完成操作。同时,小微封通过云端服务器可以采集到用户部分的个性化特征数据,比如用户听过什么样的音乐,由此完成身份认证。
徐海光表示,除此之外,通过技术方式,小微封的安全认证还引入了时空维度。即使设备丢失,依然可以保证账户安全。在他展示的APP上,用户可以实现一键锁和账户锁功能。如果用户绑定在手机上的银行卡丢失,通过小微封即可完成一键冻结账户,“手机这个时候就变成了一个银行发给C端用户的遥控器”。并且如果用户同时绑定了两台设备,即使有一台丢失,同样可以在最快时间内,通过手上的设备解除丢失设备的操作权限。
同时在地理位置上,小微封可以实现近场、精确定位和区域定位功能。即根据不同需求,选择支付的范围,一旦超出设定的范围即无法完成支付。由此,通过多个维度的定位,将传统的单一因素认证升级为多因素认证。
相比传统的U盾、动态密码令牌,小微封采用的是一种软件安全认证的方式。徐海光表示,在移动支付时代,每个人不可能拿一堆密码盾,软件模式将是未来的趋势。
但通过软件的方式解决这一问题,小微封服务器需要与银行或第三方支付企业进行对接。按照徐海光介绍的模式,整个支付安全认证过程必须通过三个主要环节,即用户设备向银行服务发出支付指令,银行端再向小微封服务器发出验证指令,后者通过对设备、时间和地点三个维度的N个数据比对后,如果数据匹配,即可完成支付,一旦发生异常,小微封将对银行服务器提出警示。
这对传统的安全验证模式是一种变革,之前只是在银行服务器和用户设备之间直接发生支付和验证指令传输,而小微封的模式则是在两者之间加入第三方验证。据徐海光称,传统的方式中,支付指令和验证指令通过单一通道传输,极易被黑客短时间内劫持,而加入第三方,形成双通道,将支付指令和验证指令分离,增加安全系数。
同时,第三方服务模式则避免了系统升级带来的支付问题。在目前一些银行的手机客户端中,支付和验证功能集合在一个APP内,一旦安全系统升级,支付服务也将受到影响。徐海光表示,在国际通行的技术架构中,支付和安全应该是独立的两个APP,即使安全系统升级,也不影响支付功能,并且因为第三方服务商连接多家金融机构,一旦一家被攻击,其可以立刻预警并升级安全系统对未被攻击的金融机构进行保护。
徐海光表示,目前已经有多家银行开始与其接触,正在进行具体细节上的沟通,并且与部分第三方支付机构签约。