智能支付POS的安全风险分析
添加时间:2017-08-26 16:23
1、支付方式多样化,推动智能支付POS高速发展。
随着互联网移动支付的爆发,人们支付方式的多样化,生活中移动支付已经渗透到细微生活场景中,随着支付方式的改变,各个行业的收银方式也将面临需要改革的命运。
随着支付方式的改变,传统 POS 机亦将面临严峻的考验。而智能支付 POS 完美解决了收银痛点,开放式平台,可以方便对接收银系统、ERP 管理系统,会员系统连接,来实现一些不同系统之间的信息联动,帮助商家更好地建立数据通信,降低业务成本,减少人工差错,增强内控服务等。同时,商户可以通过智能 POS 机进行店铺管理。
据了解,截止目前为止,智能 POS 在整个 POS 领域中渗透率已逾 1%,随着移动支付渗透率进一步提升,智能POS 机在整个 POS 机中的占比将迅速提升。
2、智能支付POS面临的安全风险分析。
中央电视台连续几年的 3.15 晚会都曝光了与智能终端安全相关的话题:2015 年免费 WIFI 安全预警、2016 年部分智能支付终端(手机 APP+mPOS)存在的重放攻击的安全漏洞、2017 年公共充电桩安全风险,引起大家的关注。
智能支付 POS,本质上也属于智能终端,以其智能操作系统、平台开放和互联网接入而受到各界欢迎。然而随着智能支付 POS 的日益普及,安全性问题也成为大家的焦点。那么智能支付 POS 是否也存在类似的安全隐患呢?接下来我们来做下分析。
2.1 Android 智能操作系统易受攻击。
众所周知,Android 操作系统所有源码对外开源。因此,其漏洞更容易被发现,也更容易被攻击。据腾讯移动安全实验室发布的《2017年第一季度手机安全报告》统计,2017 年 Q1 新增手机支付病毒包 3.05 万个,虽然较 2016年同期大幅下降了,但数值依然较大。
绝大部分智能支付 POS 的操作系统均是 Android 操作系统。理论上,这些病毒的大部分将同样适用于智能支付POS.
2.2 开放平台下 APP 任意安装带来的风险。
平台开放方面,智能 POS 支持多应用,且支持智能POS 厂商和收单机构之外的第三方开发的应用。APP 任意安装,极易引入风险。
不论是用开发方故意植入还是无意引入的有风险的插件,都可能在运行过程中,引发其他有风险的 APP 的下载与安装。
无论哪种情况,应用在平台的上传,有可能给平台带来风险。应用在平台上架,最终在商户智能 POS 的安装,更是可能给商户带来不可预知的风险。
2.3 各种各样外设连接带来的安全风险。
传统POS,功能较为单一,而对于智能支付POS来说,支付将不再是 POS 的全部,而是作为商户整个商品售卖流程中的一个环节。另一方面,随着 POS 功能越来越强大,越来越多的外设与 POS 相连接。
2.4 纯触屏下输入 PIN.
传统 POS,基于专用的硬件平台和封闭的软件系统,都是采用实体键盘来进行密码输入,虽然稳定安全,但系统落后、性能差,用户的体验、开放性和扩展性也都较差。
而基于 Android 的智能支付 POS,为了考虑用户体验,多数都输在触屏上进行密码输入,这就对支付安全性带来了很大挑战。
3、智能支付POS安全性防范措施。
上面所分析的的风险并不是无法预防和抵御,可以采取的措施包括不限于终端进行安全检测,通过安全检测的终端老实本分,通过 TEE 加固终端,严格平台管理应用审核强化确保平台安全。
3.1 受安全硬件保护的封闭态终端。
通过终端安全技术攻关、安全标准引导能够提升智能支付 POS 终端安全能力。从北京银行卡检测中心和 PCI 等权威检测机构的对智能支付 POS 的要求来看:统一都要求智能 POS 终端必须是封闭的,应用的下装必须通过唯一或有限的安全可控的通道。这些要求的用意即在于不管操作系统本身是否有漏洞,是否安全,但是外部无法访问到操作系统或放入应用。
推荐使用受安全硬件保护的封闭态终端,作为智能支付 POS 的硬件载体。简单地说,在国内选择智能支付POS,需确保其通过 UPTS2.0 安全认证;如果是在国外使用的智能支付 POS,需确保其通过 PCI4.0 的安全认证。
3.2 受控下的开放平台。
加强开放平台的严格管理。具体在于:
(1)开发方资质的严格审查,确保开发方可信;(2)开发方上传文件的严格安全审查,确保不会对平台后台系统造成危害;(3)开发方上传应用安装包的充分检测。检测通过的应用包,增加 APP 签名机制。
4、结语。
智能支付POS,作为支付POS的新形态,在硬件性能、远程管理、支付方式多样性等方面与传统 POS 相比,有很多优势。2017 年称为智能 POS 爆发年。在互联网 + 时代,智能支付 POS 能够深入场景做创新,将产品创新与用户价值紧密融合,快速响应用户需求和市场趋势。
作为金融支付工具,其安全性也是不可忽视的。本文结合目前针对智能支付 POS 可能存在的安全风险做了分析,同时介绍了智能 POS 设计过程中一些安全性方面的防范措施。