Google Wallet移动支付常见安全性问题解疑答惑 -pc6资讯

您的位置：首页 → 资讯 → 软件新闻 → Google Wallet移动支付常见安全性问题解疑答惑

Google Wallet移动支付常见安全性问题解疑答惑 时间：2011/5/30 17:07:01来源：至顶网作者：不详我要评论(0)

5月30日国际报道当地时间上周五，Google发布Google Wallet移动支付计划，今年夏季将通过安装NFC芯片的Nexus S智能手机在旧金山和纽约试点。该系统允许内置NFC芯片的智能手机采用无线技术将交易数据短距离发送至零售店的专用NFC读卡器上。

这意味着人们在读卡器前晃动Android手机就能够完成信用卡或借记卡刷卡及现金支付任务。这类“电子钱包”将为消费者带来便捷，将钱和借记卡放在家中。但其安全性究竟如何，下面的常见问题解答将为人们进行解疑答惑。

1、Google Wallet工作流程是什么？

用户支付卡卡号和交易信息经过加密后存储在NXP提供的智能手机上的一颗防干扰芯片上。Google将该芯片称为Secure Element，要求消费者输入一个PIN码（个人识别码）后打开Google Wallet应用进行交易。

Google在Google Wallet官方网站上称：“Secure Element可被视为一台独立的计算机，能够运行程序、存储数据。Secure Element独立于用户Android手机内存。Secure Element只允许可信任软件访问已存储的支付凭证。MasterCard PayPass的安全加密技术在用户从手机向非接触式读卡器传输数据时为支付卡凭证提供保护。”

2、如果我忘记了PIN码该怎么办？

Google支付副总裁奥萨马·贝迪尔（Osama Bedier）在回应该问题的一封电子邮件中称：“为安全起见，用户需要重新设置Wallet和信用卡。我们正在积极设计一种更友好的用户重新设置机制，一旦投入使用后，我们将披露更多有关该功能的信息。”

3、如果我的智能手机丢失该怎么办？

如果你的智能手机上了锁，捡到者需要获悉你的PIN码后才能使用手机，并需知道你的Google Wallet PIN码后才能访问你的财务数据。

贝迪尔说：“Wallet PIN对进入Wallet Application有保护作用。如果一位用户多次输入不正确PIN码，Secure Element将禁用，无法支付，只有在发卡行、Trusted Service
Manager和用户三方重新设置后才生效。重新设置PIN码时，用户需要重新设置捆绑Wallet的信用卡，从而防止盗贼刷卡消费。此外，Secure Element还禁止个体直接读取该芯片上的任何信息。Secure Element还采取大量安全措施，防止罪犯窃取内存中包含的数据。”

4、罪犯能够创建一个象ATM诈骗那样的假冒NFC读卡器用户界面吗？

贝迪尔说：“罪犯试图诈骗NFC支付卡或手机的行为一直存在，但Google Wallet提供了传统塑料NFC支付卡所不具备的两种对策。第一种对策为在启用NFC天线之前，手机显示屏需要开启电源如照明；第二种对策为用户在向读卡器发出凭证之前需要输入Wallet PIN。这意味着用户在发送支付凭证时必须首先确定是否支付。”

贝迪尔强调：“除了Google Wallet本身的安全功能外，我们的合作伙伴还提供欺诈分析功能，帮助识别欺诈性交易，并在此类交易发生时加以阻止。与当前市场上广泛推行的标准塑料信用卡相比，Google Wallet和我们合作伙伴提供的欺诈分析系统将为消费者提供更好的保护”

5、Google Wallet是否会像Wi-Fi网络那样存在数据盗窃或拦截式攻击？

鉴于交易发生时间短、手机和读卡器之间距离小，这类攻击的可能性极小。

贝迪尔说：“典型的拦截式攻击非常困难，因为NFC无线电频率范围受限。在发送支付凭证时，Mastercard PayPass协议还提供了又一层保护，PayPass协议控制移动支付的交互作用。当然，我们一直在评估整个Wallet软件生态系统的安全，不断提高其安全性。”

6、如果我无意中通过网络或恶意件附件将一款木马病毒或恶意件下载至智能手机，而病毒本身就是窃取信用卡数据、攻击交易的话，我该怎么办？

贝迪尔说：“如果恶意件感染手机操作系统，Secure Element的设计宗旨是保护凭证。Secure Element操作系统和Secure Element中包含的数据与手机操作系统隔离。实际上，Secure Element硬件与手机上的其它存储机制隔离。另外，手机操作系统不具备读取Secure Element上数据的功能。”

一位安全专家对Secure Element在受恶意件感染的手机上的保护作用提出质疑。

电子前沿基金会（Electronic Frontier Foundation）技术主管克里斯·帕尔默（Chris Palmer）曾是Google前高级软件工程师，负责Android安全工作。帕尔默说：“如果坏人控制了用户手机，就能够控制Secure Element，信用卡信息存储在安全芯片上也就失去意义。他们会在用户发送数据时窃取用户凭证。”

一名NXP女发言人发表电子邮件声明说：“Secure Element不会遭到恶意件感染。用户在访问Secure Element时必须经过认证，其架构与手机系统的其它部分通过防火墙隔离。该技术类似于电子护照采用的高安全解决方案。”

目前为止，恶意件感染似乎是最大担忧，人们非常容易受骗点击恶意链接或打开恶意附件。

大量设备未运行最新软件也是恶意件肆虐的原因之一。例如，研究人员本月初发现一个与Google Calendar和Contacts相关的Android缺陷，能够窥探Wi-Fi网络上的数据。受影响Android设备中，99.7%运行的是老版软件。Google迅速推出修复补丁，但该问题凸显了移动用户受软件更新及安全补丁发布日期的影响。

帕尔默说：“大量手机未安装最新版补丁。我们将面临这种状况——大量用户在不安全的、未安装最新补丁的手机上运行Google Wallet。”

人们对移动设备的依赖性越大，犯罪分子将越把注意力集中到移动设备上。研究人员已经在一款宏达电Android手机上发现一款僵尸病毒及以Symbian为攻击目标的Zeus银行木马病毒。

7、但Google Wallet仍较我们目前携带的普通钱包安全，对吗？

扒手可随时窃取人们的钱包，肆无忌惮地花费现金或刷卡消费，无需认证；商店中的不法分子能够在引起你怀疑之前轻松盗用信用卡号。因此，使用PIN码上锁、对手机加密的电子钱包较携带普通钱包更安全。

移动安全厂商Lookout CEO约翰·郝林（John Hering）说：“即使你需要密切关注存储在手机上的数据安全，但其好处远超所面临的风险。”

相关视频

没有数据

文章评论

查看所有0条评论>>