2017年12月31日星期日

恶意程序通过传感器数据猜到你密码

     近日,新加坡南洋理工大学(NTU)的研究人员在本月发表了一个研究结论。恶意程序可以自由访问智能手机上的传感器数据,收集传感器产生的高度敏感的信息,并利用这些信息猜测用户的手机PIN码。
     这项研究背后的三个科学家只是最近的一批研究人员,此前有其他人做过其他的研究,这次的研究者们注意到在Android和iOS等现代移动操作系统的设计中出现了明显的安全漏洞。研究人员表示,这些操作系统不需要应用程序在访问传感器数据之前向用户请求权限。

    传感器为每个按键提供了独特的数据指纹
      为了证明他们的观点,研究人员创建了一个 App, 安装在了安卓测试机上,该应用程序能静默收集来自六种传感器中的数据,它们分别是:加速计、陀螺仪、磁力计、近距离传感器(使用红外线进行近距离测距的传感器)和环境光传感器。
      当用户用手指在触摸屏上输入PIN 码并解锁手机时,研究人员能人工智能算法分析传感器数据,包括手机的倾斜状态(空间和角度相关坐标)、附近的环境光,来区分不同按键上的按压,从而推断出 PIN 码。
3.png
图 / App 的程序布局(来自研究团队论文 There Goes Your PIN: Exploiting Smartphone Sensor Fusion Under Single and Cross User Setting )
      在他们的实验中,研究小组仅使用了三个人提供的500个随机输入PIN码操作的传感器数据,这意味着当数据更多时算法会更准确。
      研究团队表示,根据他们掌握的样本,使用 50个最常见的 PIN 码时,算法已能够以 99.5% 的准确率在第一次尝试时就猜中 PIN。之前的研究同样使用 50 个最常见的PIN码,但是准确率仅为 74%。
      当研究团队试图在 20 次尝试范围内,猜中全部 10000 个可能的四位 PIN 码组合时,成功率由 99.5% 下降到 83.7%。研究人员表示,采用这种技术可以很容易地破解更长的 PIN 码。
      以往研究证明问题很严重
      南洋理工大学的研究团队强调,真正的问题在于应用程序不需要事先询问用户是否同意,便能直接访问传感器的数据。Android 和 IOS 都会受到这个问题的影响。这个设计缺陷可能会被武器化,并被用来窃取更多的密码。
     在他们发布论文之前,有些研究就已经在进行了。
      例如在今年九月,普林斯顿大学的研究人员悄悄从手机传感器收集数据,成功推断出用户的地理位置,而无需用户的 GPS 数据。
      而在今年 4 月,英国纽卡斯尔大学的科学家创建了一个 JavaScript 文件,这个文件可以被嵌入到网页或恶意应用程序中,可以静静地记录手机传感器数据,使攻击者能够推断出用户在其设备上输入的内容。
      研究人员希望这个问题能在系统层面解决,而不是在应用层面。随着这方面的研究越来越多,苹果和谷歌应该对用户传感器进行控制,以便在用户安装的 App 访问传感器数据时进行更安全的限制。

2017年12月28日星期四

微信、支付宝扫码付款将限额

央行官网昨日发布了《中国人民银行关于印发<条码支付业务规范(试行)>的通知》,配套印发相关技术规范,从额度、风险防范等多个角度进行了管理。

条码支付新规明确支付机构提供条码支付服务,必须持牌经营,此外还将对条码支付额度进行分级管理,新规自2018年4月1日起实施。

按风险划分四级,采取限额管理

新规的重点之一是强调业务资质要求。明确支付机构向客户提供基于条码的付款服务时,应取得网络支付业务许可;支付机构为实体特约商户和网络特约商户提供条码支付收单服务的,应当分别取得银行卡收单业务许可和网络支付业务许可。

新规指出,银行、支付机构应根据《条码支付安全技术规范(试行)》(银办发〔2017〕242号)关于风险防范能力的分级,对个人客户的条码支付业务进行限额管理。

具体来看:风险防范能力达到A级,即采用包括数字证书或电子签名在内的两类(含)以上有效要素对交易进行验证的,可与客户通过协议自主约定单日累计限额。

风险防范能力达到B级,即采用不包括数字证书、电子签名在内的两类(含)以上有效要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过5000元。

风险防范能力达到C级,即采用不足两类要素对交易进行验证的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过1000元。

而风险防范能力达到D级,即使用静态条码的,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过500元。

静态条码目前被认为是风险最大的支付领域之一。除了限额管理外,新规还提出了一系列防范静态条码风险的措施:包括要求静态条码应由后台服务器加密生成、要求展示静态条码的介质应放置在商户收银员视线范围内,商户应定期对介质进行检查、要求静态条码采用防护罩等物理防护手段避免被覆盖或替换等。

此次《规范》将条码支付分为付款扫码和收款扫码。“付款扫码”是指付款人通过手机、Pad等移动终端识读收款人展示的条码完成支付的行为,是用户主动扫码付款,俗称“主扫”;“收款扫码”是指收款人通过识读付款人移动终端展示的条码完成收款的行为,是用户被动扫码支付,俗称“被扫”。

中国社科院金融所支付清算研究中心特约研究员赵鹞认为,由于在此前的试点应用中,条码支付风险乃至用户资金损失多发生于“主扫”,特别是“主扫”静态条码,《规范》以限制静态扫码限额和约束银行、支付机构开展付款扫码服务的具体行为与风控措施并要求他们提供客户权益受损解决机制等具体条款,积极引导付款人“主扫”经过安全加密和设置有效期(一般为一次性条码)的动态条码,将商户的较大金额收款行为也引导到“被扫”上来。

赵鹞认为,《规范》是条码支付的“驾驶证”。央行新规让条码支付从此告别“无证驾驶”与“危险驾驶”。

安全风险考量,二维码支付曾被暂停

条码支付的发展经历了“一波三折”:2011年,央行同意部分非银行支付机构(简称支付机构)在限定场景内试点开展条码支付业务,并提出严格的风险管理要求。到了2014年,在未建立有效安全措施、统一的业务规则和消费者权益保护制度的背景下,部分支付机构采取持续补贴的方式广泛推广条码支付业务,人民银行对其采取了暂停线下条码支付业务的监管措施。

在此后的一段时间里,以支付宝、财付通为代表的二维码支付机构通过改造扫码流程(如从用户扫商家改为商家扫用户)等方式,并未放弃抢占二维码支付市场;而在互联网巨头的大额补贴之下,二维码支付也逐渐为大众所知晓。

央行有关负责人在答记者问中指出,随着近年来支付标记化(Tokenization)等技术在移动支付中的广泛应用,客观上提高了条码支付的安全标准。但是,囿于缺乏统一的业务规范和技术标准,在条码生成机制和传输过程中仍存在风险隐患,也引发了支付安全的风险案件,市场机构在业务推广过程中还存在不正当竞争等现象。

为规范条码支付业务,保护消费者合法权益,促进移动支付业务健康可持续发展,人民银行指导中国支付清算协会组织市场机构、专家学者就条码支付相关问题开展充分研讨并达成高度共识,研究制定了相应业务规范和技术规范。 新京报记者宓迪

■ 释疑

1 限额对消费者有影响吗?

专家认为,各项单日累计交易额度能满足大部分人使用条码支付付款的需求。

央行表示,条码支付与传统银行卡等支付工具相比在交易安全性上存在一定不足,人民银行坚持条码支付小额、便民的定位,对条码支付风险防范能力进行分级。发行条码的银行、支付机构应根据风险防范能力等级,在确保风险可控和尽量满足用户需求的前提下科学合理设置相匹配的日累计交易限额。

“简单地说,就是用户的风险防范等级越高,每天可以交易的金额就越高,如规范中提到的A级,采用数字证书或电子签名,再加上静态密码、指纹等要素,就可以不受额度限制。”拉卡拉支付股份有限公司资深合规总监唐凌指出,“如果商家放个静态码你就敢扫,支付额度自然就低。”

“尽管监管对静态码有不少要求,如商家定期检查,用玻璃罩盖上等措施,但在扫码支付的风险案件中,静态码占比仍很高,那每天就限额500元,即便是被骗,损失也可控。”唐凌表示,如用动态码付款,风险自然少,限额就会提升。这也是监管政策的一个良好导向。

据记者小范围调查,500元的静态条码限额能够满足多数人的日常支付需求。

“市场统计表明,条码支付业务量的95%是单笔500元以下的小额交易,2017年上半年笔均百元左右。”中国社科院金融所支付清算研究中心特约研究员赵鹞指出。

中国支付清算协会执行副会长兼秘书长蔡洪波认为,总体来看各项单日累计交易额度能够有效满足绝大部分客户使用条码支付进行付款的需求,基本不影响消费者使用的便利性体验,同时也能够显著提高条码支付的安全水平。 新京报记者宓迪

2 新规对机构有何影响?

腾讯和支付宝方面均表示,正在学习央行通知,会持续收集用户和商户的实际需求。

在第三方移动支付领域“寡头局面”逐渐形成的过程中,市场份额的细微变动背后,机构之间也不惜通过“线下支付返现”、“折扣”等优惠措施吸引用户和流量。

央行有关负责人直言,条码支付在促进移动支付普及发展的同时,出现扰乱市场公平竞争秩序的现象。“部分市场机构在开展条码支付业务时,在定价和市场推广策略中采取倾销、交叉补贴等不正当竞争手段,滥用本机构及关联企业的市场优势地位,排除、限制支付服务竞争,导致支付行业无序发展和不公平竞争,扰乱市场秩序。”

在苏宁金融研究院互联网金融研究中心主任薛洪言看来,新规注意到了“部分机构采取烧钱、补贴”等市场行为。“支付本就是微利业务,中小支付机构无力补贴市场,站在监管机构角度,部分机构采取烧钱、补贴等方式拓展市场会加速行业分化,不利于整个支付生态体系的稳定与健康发展。”

针对此次央行发布的条码支付业务规范,27日晚间,腾讯方面表示,正在组织相关团队学习消化这一通知,“我们也在收集用户和商户的实际需求,同时积极研发新技术以及探索新技术应用于条码支付领域的可行性。”公开资料显示,拥有央行第三方支付牌照的腾讯财付通目前旗下有微信支付、QQ钱包两大产品,用户数已超过8亿,日均交易笔数已超过6亿笔。

支付宝方面表示,高度认同央行为规范条码支付所作出的努力,支付宝非常关注并正在组织团队认真学习这一通知,会持续收集用户和商户的实际需求,积极研发新技术以及探索新技术应用于条码支付领域的可行性。 新京报记者陈鹏

■ 行业

二维码支付正上演“三国杀”

2016年,中国支付清算协会向支付机构下发《条码支付业务规范》(征求意见稿),被行业内认为是官方首次公开认可条码支付的标志。此后的一段时间内,包括银联、商业大行们加快了二维码支付产品的步伐,纷纷推出二维码支付产品。

这段时间里,银联推出银联版二维码标准、涵盖二维码支付功能的“云闪付”APP,而支付宝、财付通们亦并未放慢攻城略地的步伐,更是将行业内“三国杀”的战火逐渐烧到海外,创始人纷纷亲自上阵,为自家产品站台。

专家指出,二维码的背后,是各个巨头对支付场景的争夺,而支付是金融体系的基础。根据中国支付清算协会此前的一份调研,用户最常见的条码支付场景为超市或便利店,之后为餐饮店、自动售卖机及电影院等。

央行公布的支付体系运行总体情况显示,三季度移动支付业务97.22亿笔,金额49.26万亿元,同比分别增长46.65%和39.42%。 新京报记者宓迪

■ 小贴士

欺诈手段多扫码小心这些雷

梳理公开材料可以发现,此前有不少案例利用的就是当下扫码的一些缺陷和漏洞。

1、静态条码被“调包”

2017年3月,江某误扫了共享单车上被掉包的二维码,将99元押金转入不法分子账户,无法追回。目前,部分特约商户(小微商户)用静态条码作为收款码,但静态条码容易被调换,如果扫描不法分子调换的条码支付,资金将付给不法分子,导致商户无法收到钱款。

2、利用收款码伪造交通罚单等

2017年3月,南京的邹先生在车上发现一张违停罚单,并附有二维码“扫码可缴费”。扫描二维码后显示“违章处理,转账200元,点击确认”。核实发现是假罚单。

不法分子利用消费者图省事的心理和有时存在粗心大意的情况,基于日常生活消费、公共事业缴费(水、电、燃气费等)、交通违章发单缴费等应用场景,编造虚假的缴费信息通知或提示,同时放置或印制伪造的条码,误导客户扫描伪码,实施欺诈。

3、嵌入木马,扫码被盗刷或窃取信息

不法分子将木马病毒程序嵌入到其生成的条码当中,一旦误扫了此类条码,手机就可能中毒或被他人控制,导致账户资金被盗刷、个人敏感信息泄露等风险问题发生。近期“清理僵尸粉”骗局也属于这种类型。

4、诱骗消费者发送付款码后盗刷

不法分子以金钱或物质奖励、优惠等诱导消费者向其发送付款码,之后迅速实施盗刷。2016年8月,参加了“集赞送礼品”活动的云南杨小姐联系商家换取奖品,商家不断要求杨小姐发送付款码,最终成功盗取了其账户资金。

5、虚假网店发收款条码实施欺诈

在网购过程中,存在不法商户在消费者支付环节骗取其使用购物平台监控外的扫码方式进行付款。南京的沈小姐在网购选好衣物后,通过店家发来的二维码进行手机付款,但之后被对方拉黑,损失约2000元。

6、利用小礼品等奖励诱导扫码注册

不法分子采用赠送小礼品的方式,诱导消费者扫描二维码并在注册页面填写姓名、手机号、身份证号等相关信息,随后将个人身份信息转卖获利。