为什么指纹支付会在系统中删除(聚焦技术手机指纹支付藏重大隐患)
为什么指纹支付会在系统中删除(聚焦技术手机指纹支付藏重大隐患)对于手机厂商来说,实现支付与各种场景的深度融合,是金融服务布局中不可忽视的一环,这一利益链条也为支付机构、手机厂商双方带来巨大的利益。如今曾被誉为最安全屏幕保障的“指纹解锁”出现问题也让不少网友大呼“想回到土著时代”。 苏宁金融研究院金融科技中心主任孙扬在接受北京商报记者采访时介绍称,比较初级的光感指纹技术早就被攻破了,所以会有一些使用指纹识别身份验证支付业务的公司会被欺诈。尽管一些指纹技术公司已经有更深层次活体监测的技术,如半导体硅感等二代指纹技识别术,可以直接读取手指皮肤真皮层信息,甚至可以读取血液流动信息提升指纹技术识别活体和抗伪造攻击能力。但一个手机厂商生产不同型号的手机所使用的指纹识别技术供应商可能都是不同的,此事件也反映了一些厂商,在积极探索提升生物识别验证的安全性方面还有较多工作可做。 10月19日,中国银行手机APP也发布《关于临时关闭三星部分手机型号手机银行指纹服务的公告
看似便捷的指纹解锁如今也成了安全隐患,有试想过给手机装个保护套,密码也轻易被破解吗?正因为存在这样的安全隐患,该指纹支付服务也遭多家金融机构关停。10月23日,微信、支付宝同时宣布确认关闭三星Galaxy S10等机型指纹支付,不久前中国银行也宣布临时关闭三星部分手机型号手机银行指纹服务。而“指纹识别”安全之殇折射出生物识别验证的安全性方面还有较大改进空间。
三星部分机型指纹支付功能遭关停
三星指纹解锁安全事情起源于一个不经意的尝试,据外媒报道,英国一位用户在给自己的三星Galaxy S10新安装了一个硅胶套后,发现该智能手机能够被任何人解锁。这也意味着,如果有人拿到这位用户的手机,那么只需要一个硅胶套就能畅通无阻进入和使用,也可以进行划款、转账等操作。此消息发布后,三星官方对指纹安全漏洞进行了回应,并承认了这一安全漏洞。
在国外用户支付安全隐患苗头初现的背景下,国内多家金融机构迅速做出反应,微信表示,已关闭三星Galaxy S10等机型指纹支付。支付宝方面称,部分三星手机的指纹校验存在风险,为了保障用户在支付宝的用款安全,受影响的机型暂不支持指纹验证,用户可以按页面提示使用其他验证方式。
10月19日,中国银行手机APP也发布《关于临时关闭三星部分手机型号手机银行指纹服务的公告》提醒,三星公司承认了其Galaxy S10和Galaxy Note 10两款手机和Tab S6平板指纹识别存在漏洞。为保障用户登录安全,中国银行手机银行已暂时关闭该型号手机的指纹登录功能;其他品牌型号手机、平板指纹登录不受影响。
折射生物识别验证安全难题
尽管这一事件是由于用户隔着硅胶套进行指纹录入所引发的,但也折射出了一些厂商在积极探索提升生物识别验证的安全性方面还有较多工作可做。
苏宁金融研究院金融科技中心主任孙扬在接受北京商报记者采访时介绍称,比较初级的光感指纹技术早就被攻破了,所以会有一些使用指纹识别身份验证支付业务的公司会被欺诈。尽管一些指纹技术公司已经有更深层次活体监测的技术,如半导体硅感等二代指纹技识别术,可以直接读取手指皮肤真皮层信息,甚至可以读取血液流动信息提升指纹技术识别活体和抗伪造攻击能力。但一个手机厂商生产不同型号的手机所使用的指纹识别技术供应商可能都是不同的,此事件也反映了一些厂商,在积极探索提升生物识别验证的安全性方面还有较多工作可做。
对于手机厂商来说,实现支付与各种场景的深度融合,是金融服务布局中不可忽视的一环,这一利益链条也为支付机构、手机厂商双方带来巨大的利益。如今曾被誉为最安全屏幕保障的“指纹解锁”出现问题也让不少网友大呼“想回到土著时代”。
在麻袋研究院高级研究员苏筱芮看来,支付机构与厂商合作时,首先应当明确准入条件,对合作厂商、手机型号等设置一定门槛,需要使其通过或出示相应检测结果。技术层面,支付机构需要对机构及其运用技术做好事前尽调,且事中及时监测与跟进。针对生物支付中不同技术类型(例如指纹识别又区分为电容指纹、超声波指纹和光学指纹),需要优先考认可度好、安全性高的技术方式。
孙扬进一步指出,支付机构要选择有自主技术,或者选择和应用最新一代顶尖指纹技术的厂商合作。另外,不能盲目信任指纹识别,央行早就提醒过必须通过多因子身份验证手段,提升身份识别精准度,防止欺诈。支付机构需要开发自己的身份反欺诈技术平台,从设备、账户、行为、位置、习惯等方面进行综合性的身份验证,支付机构还是需要部署自身比较完备的反欺诈系统。
多种验证手段提升安全系数
而对于指纹支付的服务商而言,必须完善安全性,包括硬件、软件提供方等。对于消费者而言该如何应对?一位资深行业观察人士对北京商报记者表示,移动支付对于消费者来说更多的是接受方,所以更多的仍然需要服务方完善安全性;由于目前消费者已经习惯于诸如移动支付等模式,对于消费者自身总体应付难度较大。
孙扬认为移动支付安全问题频发已较为普遍,且配套安全技术和体系不成熟较为正常。另外,移动支付现在已经成为金融C端最大的流量,许多灰黑产都已经通过各种技术渗透到了移动支付中来诈骗用户钱财。消费者应该在设置账户安全的时候,使用多种验证手段,比如密码 指纹,或者短信验证 指纹,或者人脸识别 指纹,只要增加一道安全验证手段,安全系数就能极大提升。
“移动支付本身就存在交易风险率,虽然在某些场合低至千万分之一级别,但并不等同于零,而风险案例的诞生,在互联网时代易被放大传播;移动支付发展日新月异,其中出现的新技术、新变化难以准确预测,研发生产时期未必能穷尽各种漏洞。对于消费者来说,首先应当树立起保护好自身生物信息的意识,对于非必要场合尽量减少信息输出;其次应当规范使用移动设备,避免因自身使用不规范导致信息泄露。”苏筱芮说道。
北京商报记者 孟凡霞 宋亦桐