Apple Pay支付安全性產品分析

Apple Pay的本質=刷卡，用手機來代替了實體的卡片，用TouchID來代替簽名。蘋果支付看似是通過蘋果手機完成的，實際上與以前的POS刷銀行卡沒有多大區別，本質仍然是從銀行卡里取錢。

從技術原理上看，Apple Pay在終端內集成了NFC天線和安全芯片，通過空中發卡流程，將銀行動態加密的信息集成在安全芯片里，通過NFC傳遞交易信息、完成支付。相當于在終端安全芯片里加載了一張銀行卡，與刷銀行卡一模一樣。

非接(contactless)移動支付流程分解：貼近POS機等近場識別設備→Touch ID驗證 → 輸入銀行卡支付密碼（免密支付可不輸入） → 完成支付

應用內(in-app)支付流程分解：點擊Pay→Touch ID驗證 →輸入銀行卡支付密碼（免密支付可不輸入）→ 完成支付

從上面支付流程分解可以看出，涉及到安全性的有以下幾個方面：Apple終端、支付流程（Tokenization技術）、通信（NFC）、手機驗證（Touch ID）、銀行驗證（銀行卡支付密碼）、結算

一、設備安全性

1. Apple終端安全性

Secure Element簡稱SE，就是我們常說的安全元件。是防物理攻擊的電子元件，其內部包含微處理器、存儲以及加解密硬件等，可獨立使用或嵌入到其他設備中提供高安全服務。一般來說，SE是普通人所能接觸到的最高安全保證級別的硬件/軟件設備了。Apple Pay兼容金融行業電子交易要求的安全元件。

從硬件部分看，芯片里分安全區和普通區。存儲銀行動態信息的安全區其實是芯片里的一塊“飛地”，與芯片的其他部分是隔離的，無用戶授權無法對其訪問，從而保障敏感信息的安全。最近幾年蘋果的系統版本每進行一次大的迭代，都會增加一重安全機制。對漏洞的挖掘需要越來越強的技術實力。可以認為Apple Pay選擇了一個從技術上“無法復制”的介質來存儲用戶的支付信息。

如果想通過安裝惡意軟件，一般需要對方的iPhone處于越獄狀態。但是這還遠遠不夠，因為Apple Pay的卡號信息是存儲在芯片安全區之中的。所以即便獲取了手機系統的控制權，也未必能介入到安全芯片之中去取數據。

2.Tokenization安全性

在Apple Pay的支付流程中，iPhone的安全模塊中并不存儲用戶的卡號(PAN)及其余支付信息，取而代之的是蘋果公司稱之為DAN(設備帳號/ Device Account Number)的支付Token。用戶輸入卡號、姓名、有效期與驗證碼，銀行驗證信息之后向手機下發DAN。

DAN存放于手機上的安全芯片(Security Element)內，僅本機可讀，蘋果公司不會將DAN上傳/備份至服務器，甚至蘋果公司在云端都無法訪問到DAN。

在這個過程中，Tokenization為用戶的信用卡新增了一個與卡片唯一關聯的設備帳號，而且這個設備帳號僅在這臺設備上可用。在用戶關聯了卡之后，可以通過DAN與Touch ID/鎖屏密碼來完成支付交易的確認。為了保護用戶支付信息的安全，在用戶驗證Touch ID/輸入支付密碼之前，所有的支付要素都不會被發送到收款終端上。

為了保護用戶的設備帳戶安全，如果用戶關閉鎖屏密碼/注銷帳戶/擦除設備上的內容，這臺設備中綁定的所有卡片都會被自動刪除。而在你掛失這臺設備的時候，蘋果也會主動聯系卡組織注銷設備中的卡片，這樣即使手機被破解，卡片也無法使用。

Apple Pay引入的Token體系中，除了傳統電子支付參與方外，新增了2個參與方，如下圖所示：

Token的應用原理：Token SP根據Token Requestor提供的PAN(主帳號)生成Token后，將Token作為PAN的替代值流轉在支付的各個環節，使得在支付流程中，獨一無二的PAN只在Token SP、轉接方、發卡方間傳遞，由于三者專線連接且彼此互信，且當Token被檢測到風險或到期時，將再次生成新Token替代，從而大幅降低支付過程中PAN泄漏的可能性，極大地提高了PAN的安全性。而Token的傳輸普通用戶無法觸及，且真的破解會造成極惡劣和廣泛的影響，在沒有傳出破解消息的情況下，

我們也可以認為Tokenization安全。

在硬件被攻破的條件下，由于卡號信息是以Token的形式存儲，即使拿到這串字符，也很難解密。

3. NFC安全性

NFC手機采取SE芯片硬件加密和軟件加密相結合的方式，不到0.1秒的時間就可以完成ID與密鑰等數據傳遞，黑客在如此快速交換數據的條件下截獲并破譯無線電信號的幾率很小；NFC刷卡手機支付需要在小于10厘米的范圍內才能通信，并且只能點對點的通信，只要終端設備在用戶的管理范圍內，就沒有被盜刷的可能性；在支付過程中，手機NFC的認證采用了CPU加密技術，其安全水平與銀行發行的芯片卡相同。因此NFC支付方式比現在的二維碼支付、音頻支付、聲波支付要安全很多。

對于Apple Pay來說另有3個附加的保障機制來確保非接觸式交易的安全。

首先，Apple Pay確保只有經過用戶的授權，即通過了指紋識別或輸入了設備密碼，非接觸式交易才可能發生。

其次，Apple Pay必須確保只有來自外部非接觸式POS終端的支付請求才能被標識為非接觸式交易，即對POS機有要求。

最后，NFC防止竊聽和篡改的最佳解決方案都是使用安全信道，Apple Pay通過自己NFC控制器的處理方式,將不同的信道完全隔離,讓通訊更加安全。

二、業務安全性

1.綁定銀行卡安全性

在大多數情況下，借記卡和信用卡消費是需要驗證密碼的。而在把銀行卡卡和iPhone綁定的過程中，銀行卡的密碼是不需要的。借記卡需要輸入“姓名”、“卡號”，信用卡需要輸入“姓名”、“卡號”“信用卡CVV碼”和“綁定手機驗證碼”這幾個隱私信息。

部分信息在卡上都可以找到。但是綁定手機的驗證碼卻非常難得到。除非可以同時拿到了一個人相互匹配的手機和信用卡，才可以成功把這張卡和你自己的iPhone綁定。與當前國內流行的快捷支付相同，同時拿到銀行預留手機號和銀行卡的概率很低。

2.銀行卡支付密碼驗證安全性

當前銀行支付密碼的使用規則：

a．信用卡小額免密支付，但超過300元需要刷完手機再輸密碼；

b．國內用戶習慣給信用卡加個密碼而不用簽名，這樣Apple Pay也需要密碼；

c．跟銀聯閃付業務(QuickPass)有關，無需簽名或密碼的限額是300元人民幣；

d．跟商家有關，有些商家即便沒到300元限額也會要密碼和簽名。

可以看到，銀聯閃付業務的支付密碼安全性與甚至稍高于普通的POS卡收單業務。

2.Touch ID驗證安全性

指紋信息存儲于蘋果引以為傲的安全芯片中，多年以來黑客們多次嘗試攻破安全芯片，但想要拿到安全芯片里的信息，對一般黑客來說代價高到不用嘗試。至于4~6位鎖屏密碼，由于有apple的時間保護機制，也很難攻破。

3. NFC交易安全性（銀行不進行支付密碼驗證，只用touch ID驗證條件下）：

場景一：NFC保持打開

如果要使用ApplePay，就需要打開手機上的NFC功能，而且為了方便支付應一直打開。這樣設備上的NFC有可能導致信息被讀取，同理也可以讀取到別人的信息。可以設想，有人拿有閃付標識的POS機在公交車、地鐵上讀卡，如果你手指恰好放在Touch ID上，則可完成一筆刷卡。但不法分子拿著POS機正好能碰到手指放在Touch ID的apple終端上，并且綁定的信用卡又開通了小額免密支付，概率是非常低的。

場景二：NFC終端丟失

終端丟失后蘋果公司稱可通過蘋果設備“查找iphone"功能選擇要掛失的蘋果設備并設置為“丟失模式”，Apple Pay會主動去銀行進行銀行卡掛失；還可以通過登錄iCloud.com，停止在iPhone、iPad或AppleWatch上使用信用卡和借記卡進行支付，也可通過銀行網點、電話銀行等渠道辦理掛失業務。即使掛失不及時，有Touch ID的保護，也無法完成支付。

4.結算安全性

Apple Pay依賴iPhone系統底層的整合，蘋果作為完全的第三方，只是提供一個“管道”來實現信息傳輸。結算還是商家和用戶之間的事情，相應數據不會存儲在蘋果的云服務器上，保證了交易數據的安全。

蘋果公司強調用戶隱私：不記錄任何通過Apple Pay產生的交易行為，也不會進行用戶購買行為分析。并且特意提了一句：“這是蘋果與其它對手的最大的差異”。

Apple Pay在國外推出時間不短，被攻破的幾率很小。但對于Apple Pay在中國的推廣，涉及到的新的流程為ApplePay和銀聯、銀行之間的支付協議。這部分協議對結算安全性有舉足輕重的影響。

三、國外Apple Pay支付安全危機

身份驗證以及強密碼營造的“偽安全感”

衛報2015年指出，犯罪分子找出了Apple Pay盜用的方法。犯罪分子基于銀行對于卡片激活認證的寬松管理，利用竊取的銀行信息在新的iPhone上激活注冊，便可以順利用Apple Pay購買物品。

Apple Pay依賴支付終端的NFC進行運作，在交易過程中利用了更安全的支付處理器，而且要求用戶在支付過程中還需要用Touch ID進行核驗。加上這么多步驟，無非是想讓傳統的刷卡支付增加一道身份核實的過程，但不法分子確實是“本人”支付，他們只是將卡通過漏洞“據為己有”而已。一般情況下，銀行會對綁定Apple Pay的卡片信息進行查核，但有些程序寬松得可怕，比如只需要查驗證件號的后四位。

蘋果方面表示，ApplePay是非常安全的，只是銀行的身份核實方面出了一些問題。“Apple Pay具有高度的安全性，也會充分保護用戶的個人信息，在設立Apple Pay之時，我們已經要求銀行要正確核驗身份信息，保證用戶在銀行內登記的信息和Apple

Pay上的信息是匹配的。”

可以看到，國外銀行對ApplePay綁定銀行卡的流程帶有漏洞，目前將ApplePay引入國內，這部分安全性有待觀察。

總體來說，Apple硬件終端、Tokenization技術及NFC技術都非常安全，但對于ApplePay和銀聯、銀行之間的支付協議，以及銀行核驗身份信息這些安全性方面還有待觀察。