从谍战暗号看二维码支付的潜在安全风险

　　12月4日，乌云平台爆出针对Android系统的二维码可能存在易遭黑客攻击的漏洞。在扫码应用日趋广泛的今天，这让开始习惯于使用安卓手机扫码支付的用户不禁倒吸了寒冬中的一口冷气，“潘多拉的盒子”已经开启?

　　二维码技术始于日本。美国等发达国家在20世纪80年就掌握了二维码识别技术，并逐步出台通用的技术标准。但放眼当前全球市场，随着中国智能终端的普及、互联网接入环境的改善，中国率先探索将二维码大胆应用于金融支付领域应用，在各路资本影响下，俨然正在成为移动支付领域中最为常见的小额支付方式之一。但二维码扫码支付自推出时就饱受安全缺陷的诟病，来自技术界、安全界、金融界的争论与质疑之声不绝于耳。抛开舆论世界热衷于描述与揣测的“阴谋”与“阳谋”，从风险隐患角度究竟该如何看待二维码扫码支付的方式呢?普通用户和非专业领域的读者该怎样轻松读懂乌云报告中相对艰涩的术语，如Webview与js接口?

　　或许，想明白谍战暗号系统的运作方式，能帮助大家理解一些关于二维码支付安全与便利性的几个基本原理。

　　首先，江湖险恶，尔虞我诈，光看长像判断敌友靠不住。《琅琊榜》中宫羽姑娘可以轻松地易容为悬镜司掌镜史夏冬，韩国整容技术也可以轻松地让24位选美佳丽“撞脸”(如图)。

　　所以，谍战中，地下组织成员需要通过暗语来寻找与自己接头的人员。例如《林海雪原》中的经典暗语“天王盖地虎，宝塔镇河妖”。从支付的角度看，身份验证如果仅凭这一句暗语，即一问一答，是一次单向校验行为。如果暗语被截获，就存在被他人顶替导致地下组织接头失败并危害组织生存的风险。更为安全的措施，是一组双向的暗语，如座山雕继续追问“马是什么马?”、“刀是什么刀?”等一组暗语，实施多次验证，以确保来访者身份。暗语的信息维度越多，身份越可信、可靠。

　　从交互方式上看，无论主动扫码模式和是被动扫码模式，手机终端或商户终端均为一次上送二维码信息作为身份识别模式。其基本原理是支付机构收到商户的基本金额和用户二维码凭证，在线上建立一笔的订单，再由支付机构再到用户绑定的银行卡账户发卡行，通过无密扣款通道完成。换句话说，支付机构参与到商户与消费者订单创建环节。这一点改变传统支付中商户创建订单，用户支付的基本模式。从安全角度看，主要存在三个方面的不足：交易介质可视化、交易现场不确定、订单存在被篡的可能，同时还有监管风险。

　　1、提前截获暗语密码(二维码重复放置风险)。二维码支付模式可以理解为一次性的“暗语”验证。作为身份凭证的二维码被公开呈现，交易介质具有了公开化、可视性的特征。由于与NFC支付等封闭式交互模式不同，以二维码记载的的敏感信息是暴露在外的，这增加了敏感信息非法截取的风险。特别是完成一笔交易需要用户从APP中调阅二维码、收银员再举起扫码枪读取，存在较长的人工介入时间，因此二维码需要增加暴露时间以便增加交易的成功率，目前二维码采用每分钟更换的策略，但这也给偷拍、复制等非法手段提供了较充足的时间，就好比谍战中一方已提前截获对方使用的暗语密码，并将敏感数据通过互联网传输到指定的地方。

　　2、变更接头地点(交易现场不确定)。由于手机等智能终端是二维码的生成器，扫码支付时读取方对被扫者的二维码所在终端合法性无法判断，只要出示有效的二维码即可完成交易，任意终端只要可以完整显示有效地二维码图片即可完成支付。从本质上看，是凭借二维码及部分商户提供的信息创建线上订单，并非在线下建立订单后上送，存在伪造线下交易场景的可能，虚假交易风险的发生概率将会增大，同时，用户也面临在支付账户盗用时，实际交易场景难以还原的问题。

　　3、潜伏任务随时变更(订单被篡改风险)。由于扫码支付的订单是在持卡人提供支付凭证后产生的，同时，支付机构与商业银行拥有无密扣款通道(因为支付密码和银行卡消费密码并不一致)，可免去持卡人输入密码。在持卡人与商户订立买卖合同关系中，相当于持卡人先交出自己的银行卡再由商户端填写实际金额，从技术上说二维码的提供方也可修改订单金额。正如近期支付机构可以实现订单立减优惠的活动，支付机构直接对订单金额进行修改。与传统交易方式相比，订单生成后不可修改的模式存在较大差异，因此，用户可能面临商户、二维码支付提供商因非法操作而带来的订单被篡改风险。正如谍战片中地下工作者接头后随时变更工作任务，给本是隐蔽的工作增加了暴露的机会。

　　如何安全的完成暗语接头工作，保证潜伏任务?

　　1、消除敏感信息可视化问题。作为特工本来身份就比较敏感，虽然有社会身份做掩护，但多数时是非常低调的生活和工作，否则自己处于聚光灯下不利于开展潜伏任务。支付验证因素亦是如此，作为支付环节的“暗语”，应尽量消除明文或可视化的因素，比如银行卡磁条数据本身明文存储于磁条内，而作为产业升级换代产物的IC芯片卡则能彻底解决敏感数据可视化的弊端。

　　2、敏感信息硬件级交互，减少人工干预。随着智能终端的发展，手机与消费终端的交互已经可以凭借硬件在几秒钟内实现数据传输。例如，借助IC卡芯片、手机eSE模块、NFC天线等方式均可实现硬件参与的安全比对，减少人工干预的信息泄露风险，越来越多的机构开始升级自身产品的交易身份认证方式，例如，ApplePay借助NFC模块和手机eSE安全芯片，在秒级的水平上完成身份验证。

　　3、确保凭证唯一性，固定真实支付场景。在宽带提速的背景下，互联网信息传递数据效率大幅提高，图片传递时间也大幅缩短，二维码凭证唯一面临较大的挑战，支付机构正在探索更为安全的基于手机的身份验证方式，借助手机本身不可复制的部分特殊硬件，可固定实际支付场景。例如Apple Pay与基于HCE技术的NFC移动支付等，用户身份凭证与终端硬件绑定，在不开启APP即可完成支付。

　　遭遇风起云涌变幻难测的时代，我们该如何安心移动支付?

　　实际上，在当前互联网开放的环境中，谍战中的暗语交互场景在支付领域每时每刻都在上演。从交易场景看，二维码支付在便捷与效率上确实具有优势，但在安全确实面临诸多挑战，我想这也是监管机关十分纠结的主要原因。如果二维码支付能够依托未来更为先进的安全技术，采用更多的“暗语”提升风险安全措施，不失为一种安全支付方式，还给消费者一个安心。

　　作者王宇，中国银联风险控制部安全建设联盟团队高级主管