手机指纹支付的安全之殇
本文转载自北京商报。原标题《手机指纹支付的安全之殇》。亿欧智慧城市对文章进行二次编辑,供读者参考。
10月23日, 微信、支付宝同时宣布确认关闭三星Galaxy S10等机型的指纹支付服务 ,不久前中国银行已宣布临时关闭三星部分手机型号手机银行指纹服务。而“ 指纹识别” 安全之殇折射出生物识别验证在安全性方面还有较大改进空间。
三星指纹解锁安全事件起源于一个不经意的尝试,据外媒报道,英国一位用户在给自己的三星Galaxy S10新安装了一个硅胶套后,发现该智能手机能够被任何人解锁。这也意味着,如果有人拿到这位用户的手机,那么只需要一个硅胶套就能畅通无阻地进入和使用,也可以进行划款、转账等操作。此消息发布后,三星官方对指纹安全漏洞进行了回应,并承认了这一安全漏洞。
在国外用户支付安全隐患苗头初现的背景下,国内多家金融机构迅速做出反应,微信表示,已关闭三星Galaxy S10等机型 指纹支付 服务。支付宝方面称,部分三星手机的指纹校验存在风险,为了保障用户在支付宝的用款安全,受影响的机型暂不支持指纹验证,用户可以按页面提示使用其他验证方式。
10月19日,中国银行手机App也发布了《关于临时关闭三星部分手机型号手机银行指纹服务的公告》提醒,三星公司承认了其Galaxy S10和Galaxy Note 10两款手机和Tab S6平板指纹识别存在漏洞。为保障用户登录安全,中国银行手机银行已暂时关闭该型号手机的指纹登录功能;其他品牌型号手机、平板指纹登录不受影响。
尽管这一事件是由于用户隔着硅胶套进行指纹录入所引发的,但也折射出了一些厂商在积极探索提升 生物识别 验证的安全性方面还有较多工作可做。
苏宁金融研究院金融科技中心主任孙扬在接受北京商报记者采访时介绍称,比较初级的光感指纹技术早就被攻破了,所以会有一些使用指纹识别身份验证支付业务的公司会被欺诈。尽管一些指纹技术公司已经有更深层次活体监测的技术,如半导体硅感等二代指纹技识别术,可以直接读取手指皮肤真皮层信息,甚至可以读取血液流动信息提升指纹技术识别活体和抗伪造攻击能力。但一个手机厂商生产不同型号的手机所使用的指纹识别技术供应商可能都是不同的,此事件也反映了一些厂商,在积极探索提升生物识别验证的安全性方面还有较多工作可做。
对于手机厂商来说,实现支付与各种场景的深度融合,是金融服务布局中不可忽视的一环,这一利益链条也为支付机构、手机厂商双方带来巨大的利益。如今曾被誉为最安全屏幕保障的 “指纹解锁” 出现问题,也让不少网友大呼“想回到土著时代”。
在麻袋研究院高级研究员苏筱芮看来,支付机构与厂商合作时,首先应当明确准入条件,对合作厂商、手机型号等设置一定门槛,需要使其通过或出示相应的检测结果。
本文已标注来源和出处,版权归原作者所有,如有侵权,请联系我们。