第三方移动支付平台存在着安全隐患
先来插播一则支付安全类新闻,“支付宝”有些功能虽然方便,但是却十分容易被不法分子所利用。拥有多台手机的消费者,或者像咱们编辑部同事,需要经常在 不同的设备上登录支付宝,而支付宝为了减少对智能设备的验证次数,提供了一个功能,能够将我们经常用来登录支付宝的数码设备记录下来,视为可信任的环境, 这样我们在这些设备上使用支付宝时候就能够减少验证密码的次数。阿里这样做的出发点是好的,但是却存在着安全隐患,请看下图演示:
我们打开支付宝的系统设置,依次进入“安全设置”,接着是“安全中心”,再打开“设备管理”,这里列出了之前你曾经用来登录过支付宝的所有设备,别人如 果拿到你曾经用过的这些设备之后,就能够免安全认证直接登录你的支付宝帐号,笔者可是已经重置了之前几台手机的ROM,恢复了系统出厂设置,本地是不可能 存在这些记录的,换句话说,这些数据是存放在阿里的服务器中,属于云数据,也就是类似“漫游聊天记录和QQ设置”那种操作,安全隐患让人防不胜防。
这里笔者和各位看官提个醒,记得把这些记录全部删除掉,如下图所示,点击每一条记录之后会弹出相应的“删除”对话框,用于回收这些设备的免安全认证权限,即使别人拿到你曾经用过的手机,也需要重新输入账户名和密码才能够登录支付宝成功。
不用感谢笔者,俺也是收到身边伙伴的提醒才发现这个问题,在这里再次感谢一下那位Buddy。
银行卡支付和移动支付历史回顾
接着正式进入今天的主题,我们先来看看移动支付的历史,这里我们顺便将银行卡支付历史一起分享一下。没有银行卡的话,移动支付基本上无从谈起,毕竟后者 是前者的一种付费方式的延伸,在信息化时代逐步取代前者成为人们日常经常使用的支付方式。下面我们来看看银行卡支付和移动支付的相关内容。
如上图所示,读者可能会发现两者之间有着一些相似的地方,例如IC卡的闪付功能利用了NFC通讯技术,而最近红红火火的Apple Pay和Samsung Pay也是利用了NFC技术。下文我们会对这些相关支付方式和技术进行详解。另一个共同点就是,银行卡支付和移动支付其实都有需要和POS机打交道的情 况,无论是磁条卡时代刷卡,IC卡时代的插卡或者闪付,还是移动支付平台的线下支付方式,其实都需要POS机和银行联网才能够完成整个交易过 程,Samsung Pay和Apple Pay上面所说的无须联网即可完成支付过程,其实是指手机无须联网(关闭蜂窝数据和Wi-Fi),但是POS机和银行之间肯定是需要实时联网更新账户信息 的。
银行卡(借记卡和信用卡)一般分为磁条卡和IC卡,前者读取磁条信息,后者则是读取IC芯片信息,无论是磁条/芯片的耐磨度、安全性、存储数据总容量这 些维度,IC卡都有着比磁条卡更佳的表现。其中,IC卡主要使用EMV和PBOC2.0两种标准,磁条卡则是如图所示的ISO标准。上文我们提及过,为了 让银行卡赶上移动支付平台的优势,我国银行和相关机构已经为IC卡引入了三种主要的快速支付技术和标准,分别为:MasterCard Pay Pass、VISA Pay Wave和Quick Pass。前两者使用了EMV标准和借助NFC技术进行实现,而Quick Pass虽然也是利用了NFC技术,但是采用了PBOC2.0标准。
接着我们重点关注一下移动支付内容。如上图所示,这些行为我们平时经常做,但是很少会将它们进行归类,其实移动支付已经渗透到我们生活中每一个方面。移 动支付一般分为线下支付和线上支付,前者主要利用POS机和智能手机进行交互操作,后者则主要借助不同App联网来完成整个支付过程,银行其实早已通过网 银(网上银行)、电话银行(固定电话)和手机银行(拨打电话或者发送短信)三种形式逐步培养消费者养成移动支付的习惯,同时也能够和如今的移动支付软件, 例如支付宝、微信进行抗衡。
我们重点看看线下支付,也就是那些“Pay”主力战场。线下支付主要利用了MST和NFC两种技术,下文我 们会详细介绍这两种技术。传统的银行卡需要通过刷卡或者插卡才能够完成识别个人信息以及完成交易的过程,MST和NFC技术则强调类似 LoopPay(Samsung Pay)和Quick Pass那种用户体验,只需要将智能机放在POS机上面感应区域即可识别并完成支付,相当方便快捷。下面我们来介绍一下MST和NFC。
移动支付相关技术
NFC:根据百度百科的定义,由非接触式射频识别(RFID)演变而来,是飞利浦半导体(现恩智浦半导体,NXP Semiconductors)、诺基亚和索尼共同研制开发,其基础是RFID及互连技术。
NXP Semiconductors并不陌生,还记得笔者在以前文章中提及过Hi-Fi芯片和Hi-Fi音效吗?锤子、蓝魔、TCL的部分机型采用了NXP提供 的Hi-Fi芯片,同时也搭载了相应Hi-Fi音效。另一方面,让人唏嘘的是,没落的诺基亚贵族曾为如今深受欢迎的NFC技术出过一分力。
并不是所有的POS机都支持NFC支付,这和上文介绍的银行卡历史有关,有些还没改造完毕,依然停留在磁条卡刷卡的阶段。至于中国境内那些支持NFC技 术的POS机原本是为银联云闪付(Quick Pass)服务的,也就是IC银行卡(芯片卡)。所以Apply Pay入华这件事情上,必须得到中国银联审核通过才可以,之后就能够和IC银行卡一样,获得NFC技术的POS机使用权,Samsung Pay和Apple Pay同理,这就是为什么推行Apple Pay这种支付方式困难重重的原因之一,新闻报道上所说的设备升级,其实就是指将只能够识别磁条信息的POS机升级到兼容NFC技术的状态。
不过各位消费者仔细回想一下,身边有多少商户或者有多少消费者是养成了随时随地使用银行卡支付的习惯,又或者直接点,你见过多少人使用Quick Pass进行移动支付?连中国银联推行多年的Quick Pass尚且没有普及开来,更何况这些X Pay,Y Pay的手机厂商移动支付方式。当然,不要低估苹果和三星对世界改造的能力,加上下文提及到,随着越来越多智能机厂商加入到自主移动支付平台的阵营中,这 种全新的消费习惯也有可能会迅速普及开来,至少比Quick Pass孤军作战要好。
NFC技术只能够用来支付吗?并不是。如下图所示,NFC技术其实早已存在于我们身边很多领域,能够实现的功能远不止通过公交卡、饭卡和会员卡,或者智 能手机等设备进行消费。当我们在酒店通过房间卡轻松打开房间门的时候,每天上、下班定时来到考勤机前面滴答一声的时候,或者自驾出行的伙伴每天经过停车场 通过打卡开启栏杆的时候,其实都在和NFC技术打交道。
除此以外,不同种类NFC标签能够让我们实现很多有趣的功能,还记得前几年索尼 手机大力推行过一段时间的NFC标签吗?通过将支持NFC技术的索尼手机轻轻触碰那些拥有不同功能的NFC标签,就能够实现类似打开手机音乐播放器,开启 定时闹钟之类的有趣功能,全过程无须人工干预。
众所周知,除了iOS阵营的NFC功能遭到阉割以外,WP和Android阵营的NFC功能都能够传输数据,只需要将开启了NFC开关的两台手机贴在一 起即可实现近距离传输图片、铃声等文件。NFC相比蓝牙免去了“配对”的过程,但是必须将两台手机贴在一起的时候才能够传输数据。所以在部分医疗设备上, 采用的传输方式为NFC和蓝牙技术相结合,首先借助NFC技术进行连接,免去蓝牙的配对过程,接着再用蓝牙传输通道和低功耗特性进行传输,弥补了NFC对 设备间距离限制性。
MST:主要是Samsung Pay使用的技术,前身为LoopPay(三星收购了这家公司),无须POS机支持NFC也能够进行移动支付,把三星S6 edge+/三星Note 5/三星S7/三星S7 edge启动Samsung Pay,靠近传统POS机刷卡处,即可进行扣款消费。由于我们在绑定银行卡阶段已经将磁条数据录入到手机加密区域之中,所以当我们将手机靠近刷卡器,上述 四款手机就会向刷卡器传输我们信用卡/借记卡(磁条卡)的磁条数据,读取位置就是上文所说的加密区域。即使我们没有进行刷卡动作,但是POS机已经能够识 别出我们在刷卡。
MST相比NFC在现阶段来说更有优势,毕竟单一功能的磁条机依然占据一部分POS机市场,需要等待NFC项目将这些 POS改造完毕才能够突显NFC技术和相关设备优势。MST在这个过渡期就能够迅速地抢占市场,毕竟商户无须对现有POS机设备进行升级,冲着这一点优 势,Samsung Pay相比Apple Pay在前期的市场扩张将会显得更加迅速,更容易养成三星手机用户放弃银行卡、支付宝等方式消费,转而随手一刷Samsung Pay完成交易。
指纹识别:无论是Apple Pay还是Samsung Pay,在整个交易的最后一步,进行身份鉴定时候,苹果和三星都不约而同地选择了更为安全的指纹识别技术。以前笔者也介绍过,商用指纹识别模块并不会完全 将我们整个手指头的信息完全记录下来,而是通过记录几个关键特征的位置,从而确定本人身份。这也是支付宝、微信等其它移动支付平台逐渐追加的身份鉴定手 段,相比6位密码和手势密码安全不少。
BAT移动支付
上文提到,移动支付这个大蛋 糕,每个人都想分一杯羹,除了Quick Pass和手机厂商自主的移动支付方式,相信日常我们使用得最多的移动支付手段莫过于支付宝、微信钱包、百度钱包、京东钱包。BAT三巨头早已在移动支付 平台提前布局完毕,而且大伙也发现,以支付宝和微信钱包为例,不仅具备移动支付的功能,还加入了社交的元素,相比之下,支付宝在后期才加入社交通讯模块, 微信钱包则是一直依附于微信客户端,抢红包正是微信的社交通讯功能和支付功能的完美结合。
除了支付和社交功能,两大平台也集成了周边生活的内容,支付宝的口碑和微信的大众点评就是最好的例子,当然,还有关注了商户公众号之后定期推送电子优惠券和会员卡信息。
除此以外,支付宝和微信都拥有类似银行存款机制的模块,例如余额宝、招财宝和腾讯理财通,这也是为什么上文提及银行企业需要推出Quick Pass功能抗衡这些新生移动支付平台,根源就是支付宝、微信钱包拥有的不仅仅是信息流那么简单,还有现金流,这也是Samsung Pay和Apple Pay不具备的特点,当然,如果Samsung Pay它们和支付宝、微信钱包拥有现金流的话,估计也不会那么轻松就能够“入华”。本文最后会详细介绍BAT移动支付和手机厂商移动支付平台之间究竟有哪 些区别,其中就会介绍到现金流的知识。
各家厂商的移动支付技术
Samsung Pay
接着我们挨个看看都有哪些手机厂商开启了它们的移动支付平台。首先当然就是近日相当火的Samsung Pay。相比Apple Pay优胜地方在于同时支持MST和NFC两大技术,无论是站在目前形势来看,还是立足于今后的市场,Samsung Pay的推广相比Apple Pay将会更加容易。
当然,缺陷就是现阶段支持设备比较少,基本上都是这一两代的旗舰机,包括:
S系列:三星S7、三星S7 edge、三星S6 edge+
Note系列:三星Note 5
另一方面,首批支持Samsung Pay银行卡如下所示:
信用卡:工商银行、建设银行、广发银行、民生银行、平安银行和光大银行
借记卡:建设银行、中信银行
入华不久就已经获得那么多家银行企业的青睐,也算是实至名归,可惜的是中国银行、农业银行、招商银行、交通银行这些常见银行依然没有在列,而且支持借记卡的银行只有两家,毕竟部分群体还是不习惯使用信用卡消费,所以借记卡才是推广Samsung Pay的突破口。
除了指纹识别技术,早在MWC 2013上面发布的KNOX安全管理系统也为Samsung Pay起到保驾护航的作用,可保护手机内的敏感信息。当手机被入侵病毒,被root,软件及信息会被锁死。
Apple Pay
目前支持的智能手机有(不借助Apple Watch间接实现):
iPhone 6s、iPhone 6s Plus、iPhone 6和iPhone 6 Plus
至于支持的银行机构相比Samsung Pay暂时会更多,如下图所示:
苹果官网同时也列出了现阶段支持Apple Pay的商家,如下图所示:
我们知道,支付宝和微信钱包是能够被第三方App进行调用的,Apple Pay同样支持类似功能,支持应用如下图所示:
需要注意的是,那些使用Apple Watch间接实现Apple Pay的机型,例如iPhone 5s,是无法享受被第三方应用调用的权利,只能够在线下商铺实现支付操作。
LG Pay
15年11月,LG Pay正式启用,不过暂时没有计划向外扩张,仅部署在韩国境内,和韩国金融机构——新韩信用卡和KB国民卡合作。LG并没有进一步披露相关技术细节,以及未来什么时候才开始推向国际。
Android Pay
早在Android 4.4(KaiKat)时代,Android Pay已经被谷歌提出来,同样是基于NFC技术,支持搭载Android 4.4系统以上的设备使用。2015年9月,谷歌正式启动Android Pay相关服务,并透露首批支持该服务的商家将超过100万家。美国主要银行:美洲银行、美国银行等发行的American Express卡、Discover卡、万事达卡和VISA卡都将支持Android Pay。
Huawei Pay
在今年推出之后,首款支持Huawei Pay的智能机华为Mate S能够通过NFC支付功能绑定银行卡,并通过指纹识别认证进行POS机消费。特别地,Huawei Pay还引入了“熄屏支付”功能,在不解锁屏幕,黑屏情况下,将华为Mate S贴近POS机同样可以激活付款操作。
荣耀钱包
14年12月,华为Mate 7和荣耀6 Plus正式支持在当时推出不久的荣耀钱包,陆续和招商银行、中国银行进行合作。
小米钱包
2015年1月,小米官方网站低调上线小米钱包页面,支持绑定信用卡和借记卡,支持充值和提现。同年3月,小米钱包App中出现了货币基金服务,类似余额宝之类理财产品。
中兴付
看到小米和华为纷纷投身移动支付行业,中兴通讯自然也不会错过这个机会,在15年12月发布旗下首个移动支付产品——中兴付。据报道,中兴付能够在 ATM机上取款,这也是Samsung Pay扬言未来将会实现的功能。类似于小米钱包,中兴付也集成了中兴宝模块,整合了多种高收益低风险的理财产品。不过对于笔者来说,最吸引的还是发挥了中 兴Mifavor系统自身最大特点,支持超声波购物。通过无形的超声波广告,影视剧、网络视频中男女主角的吃、穿、玩所涉及的产品与商家,还是球场、演唱 会等人群聚集地的优惠券、唱片购买信息等,都能隔空同步推送到手机上,用户仅需点开链接即可感受即看即买的购物体验。
魅族mPay
mPay在魅族MX4 Pro发布时候同步推出,主要还是得益于安全性更高指纹识别模块的引入,才加强了mPay作为移动支付手段的可行性。后续机型魅族MX5、魅族PRO 5和魅蓝 metal全部都支持mPay。mPay同样是基于NFC技术的产物,另外也采用HCE和TOKEN技术,具备在POS机的“闪付”能力。后来推出的 mTouch 2.0(指纹识别模块采用技术)基于TrusTonic的TEE安全环境,即使手机被root,获取的只是普通区域的最高权限,并无法获得存放指纹识别信 息区域的数据。mPay的内容还包括魅族钱包配合NFC技术,能够实现为公交卡充值功能。
OPPO手机钱包(一闪通)
早在OPPO N1时候,OPPO手机钱包已经面世,相比业界其它厂商走得更加快,作为国内首款NFC全能支付手机的OPPO N1,可不仅仅只有可旋转摄像头、O-Click、O-Touch这些创新性卖点而已。后来,OPPO“一闪通”增加了更多的适配机型,除了自家的 OPPO N3和OPPO N1mini以外,还追加了友商的荣耀6 Plus和三星Note 4(公开版和联通版)。
OPPO介绍,“一闪通”实际上是把安全模块内置到手机之中,和安全有关的计算都不会在CPU中进行,而是一块专门的安全芯片。招商银行更携手OPPO,指定型号手机能够实现刷卡支付、ATM机取款和银行网点办理业务等操作。
手机厂商Pay和支付宝等支付方式区别
如上图所示,Samsung Pay和Apple Pay相比BAT那些移动支付平台,最大的不同在于并不掌控着现金流,只掌控着信息流:例如核实用户个人身份,它们其实可以看作是银行(商户)和用户之间 的一道桥梁,只起到了中转站作用。但是BAT那些移动支付平台则不然,掌握着消费者的现金流,因为它们除了绑定银行卡,并且直接消费银行卡上面的余额这一 功能以外,还能够将现金存入支付宝、微信钱包之类的账户上,换句话说等同于衍生出一家虚拟银行,后期引入的余额宝、招财宝和腾讯理财通,是会出现“利息” 这种概念的,也就是类似银行的存款机制和基金机制,所以BAT的移动支付平台掌控着现金流。
如上图所示,能够更清楚地看到支付宝和微信钱包在银行(商户)和个人用户之间的合作关系,并不仅仅充当一道桥梁,还能够将现金流转入自家的理财模块之中。
上文我们提及到,无论是支付宝、微信钱包,还是Apple Pay之类的支付方式,都能够被第三方App调用进行支付操作,同样地,这些操作都会被云端服务器记录下来,对于部分读者来说可能并不放心一次授权,以后 长时间(一般是一年)都授权给这些应用,我们依然能够通过本文开始介绍的方式将“账户授权管理”权限回收。如下图所示:
总结: 银行卡衍生的Quick Pass并没有得到多大的反响之后,支付宝和微信钱包这些第三方机构的移动支付平台开始崛起,减少消费者经常带着银行卡外出或者消费现金的次数,培养成移 动支付习惯后,手机厂商也看到了商机,这一两年纷纷投身到移动支付的行业中,制定厂商自己的支付方式和标准,打造完整的生态网络有的厂商做得比较成功,得 益于深厚的技术积淀,对上、下游厂商把控能力,对行业风向标的准确把握,对消费者实际需求的充分解读。我们也期待未来将会有更多手机厂商加入到移动支付平 台,让这个行业的前景更加光明,为消费者带来更多的便利,关键是全面普及到中低端机型才行。
上一篇:没有它,小偷只需要一张打印纸就能破解手机
下一篇:Samsung Pay公测 S6/S6 edge用户被抛弃?
推荐阅读最新更新时间:2024-05-03 15:25
- 消息称苹果、三星超薄高密度电池均开发失败,iPhone 17 Air、Galaxy S25 Slim手机“变厚”
- 美光亮相2024年进博会,持续深耕中国市场,引领可持续发展
- Qorvo:创新技术引领下一代移动产业
- BOE独供努比亚和红魔旗舰新品 全新一代屏下显示技术引领行业迈入真全面屏时代
- OPPO与香港理工大学续约合作 升级创新研究中心,拓展AI影像新边界
- 古尔曼:Vision Pro 将升级芯片,苹果还考虑推出与 iPhone 连接的眼镜
- 汇顶助力,一加13新十年首款旗舰全方位实现“样样超Pro”
- 汇顶科技助力iQOO 13打造电竞性能旗舰新体验
- BOE(京东方)全新一代发光器件赋能iQOO 13 全面引领柔性显示行业性能新高度