【鉅亨網陳律安 綜合外電】
罪犯找到方法,攻破了蘋果 (AAPL-US) 支付 Apple Pay 的安全機制。
銀行傳出遭逢越來越多的相關詐欺案件,不過最近的報導指出,這些案件比較像是竊資事件,而不是蘋果的生物加密機制遭破解。
《CNBC》報導,罪犯將偷來的信用卡資訊設定在新 iPhone 上,然後在利用其他網路上搜羅的資訊,假裝成被害人,讓銀行相信他就是授權用戶來核可新卡。
資安專家表示,由於罪犯能夠輕易從黑市網站中購得信用卡資料以及其他個資,這種作法並不會太困難。
資安專家認為,雖然這些詐欺案件,比較像是竊資而不是 Apple Pay 遭駭,但這顯示了該服務的核准過程有些問題,需要蘋果及銀行來解決的。
「兩造都有些責任,比方說蘋果應該可以做得更多。」Cabasa Secruity 共同創辦人 Samuel Bucholtz 表示。「不過詐欺的源頭是銀行核可那些卡,並不是蘋果的安全系統遭到破解。」
根據蘋果的技術支援頁,當用戶在 Apple Pay 新增信用卡時,蘋果將資料加密並與其他資料一同交給銀行,包括 iTunes 帳戶活動以及現在位置、使用機型等資訊。
然後,就是銀行來決定是否核准交易。
銀行可能會請求多資訊來證明是否是所有人,但這些資訊都很輕易的就能為罪犯在網路上取得。也有可能銀行不會請求更多資訊,因為他們希望過程越無痛越好。
銀行致力讓客戶採用 Apple Pay 服務,並透過憑證化技術來增添安全。這些努力似乎奏效,比方說摩根大通最近就表示已有超過百萬人在 Apple Pay 新增信用卡,美銀則指出在去年底就有 110 萬張新增信用卡。
「銀行搶先偷跑,他們希望事情變得簡單些,但在方便性及安全性間,他們選擇了前者。」Bucholtz 指出。
他說,一個蘋果及銀行可行的做法,是核可新卡時銀行給一組 PIN 碼。這可以是銀行透過電郵傳給客戶,或是客戶登進銀行帳戶來取得一次性的資訊。
CyberSponse 創辦人、共同執行長 Joe Loomis 表示,雖然最後核可是銀行,但蘋果應該可以做得更多。
「蘋果的核可過程其實有些不足,因為消費者以方便為主,如果你讓過程太複雜,消費者可能乾脆就不用了。」他說。「所以蘋果必須平衡一下,確保安全不會被輕易攻破,但又不能讓過程太麻煩,要讓祖母也能使用。」
然而,這有時難以兩全其美。
「如果蘋果能讓銀行每筆交易都給它 15 基點,難道它不能讓銀行有更好的核可過程嗎?」
蘋果不是第一次為了方便在安全上妥協,去年 iCloud 遭駭名人裸照流出即為一例。
Loomis 認為,你必須明白更多安全機制使用率會降低,但只要使用率超過被詐欺的比例,就可謂為成功。這就是現在世界運行的方式,這是可接受的風險。
他認為,這些蘋果都明瞭,這是他們風險模組的一部分。如果一個產品有著安全的核可過程,那使用率就不會太快成長。所以從為股東賺錢以及創造營收的觀點來看,他們不會這麼做。
今日點閱排行: