2016年8月17日,ISC2016移动安全发展分论坛在北京国家会议中心召开。华为高级安全总监王梓介绍了华为公司移动支付解决方案实践。
以下内容为王梓演讲速记整理全文:
谢谢主持人。各位来宾,非常荣幸有这样一个机会参加ISC大会。我来自华为终端,今天也是想跟大家分享一下,在移动支付安全这个领域,华为的一些实践。移动支付安全这个问题很大,我们来自终端厂商讲一些安全实践。
我今天的话题主要分为这样几部分,先简单介绍移动支付安全的现状,然后对支付的多层防护讲这样几个点。第一个伪基站,现在伪基站的问题是行业重点,看似能解决,看似不好解决。最后是恶意软件攻防,我们不管是云端软件还是本机的杀毒引擎都是跟第三方合作的,不是我们想主导这个事情,是我们想起一点点小作用。我们能不能终端上做一点点事情,帮助安全检测更有效、更精准。最后谈一谈芯片的检测。
我们先简单谈一下移动支付安全的现状。现在说线上线下,其实这个界限已经很模糊了。第一个,我们不管是像apple pay进入中国,三星也搞了一个pay。我们都是作为发展的渠道,其实本身我们不是做支付行业。我们微信支付比较多,这种产品形态非常非常多。将来哪种产品形态将成为主流?其实还是用户黏性。现在二维码支付,用户黏性比较大可能会占领市场。这里谈一点,现在央行出台了一些政策,可能对于非盈利机构业务上有一些限制。这些政策反而可能对我们的安全会有很大的促进作用,比如说现在如果你不采用安全芯片或者硬件的话,可能你的额度会受到限制。这种政策的驱动下,我们在终端安全上也会有新的变化。
其实这是一个手机银行的额度,因为我最近做支付比较多,前一段时间专门调研这个问题。这个额度调研完了之后也是吓死宝宝了。大部分银行一天单笔50万、100万。我查了一下银行帐户,1000还在,我心里稍微平静一下。看似50万、100万,可能对于身价几亿的人觉得无所谓。对于我们身价一共两三万的人感觉不够折腾了。
在手机上也有这种产品,比如通过蓝牙,其实这种东西的体验是非常差的,它已经不适合移动互联网的发展需要了。现在的趋势都是从客户端,最多短信验证码,50万、100万的往外转。每天都得用,用的胆战心惊。我举自己的例子,我如果在开放的Wi-Fi环境下,我是自己不敢用手机支付的,自己多少了解一下。如果在开放的环境下,是绝对不会用。
其实很多人在用,但是用的是胆战心惊。现在的攻击成本非常低,伪基站给你发一个短信,9588,大家比较信任,该点点,一钓鱼把账号都输进去,一点APP装上了,短信拦截码都拦截了。这是银行第三方支付,只需要你的身份证号、验证号就可以完成支付了。基本上伪基站发送的短信有些用户不太警觉。大家都认为这些东西,我们年年有绩效,我们每年都在这个上面投入大量的时间成本,我们发现有很多点,比如伪基站做的,甚至短信的,浏览器,恶意软件。但是好像防的效果怎么样?不是很理想。从用户口碑上感觉到还是收到伪基站短信,还是经常装一些恶意软件。
刚才盘古的兄弟提到苹果系统已经很不安全了,安卓生态那就更不安全了。但是我们不能否认安卓生态,现在我们的安卓是6.0,马上会发布安卓7.0。我们看这个版本上,每个版本谷歌或者终端厂商都在努力。其实现在从功能完备上已经快跟IOS对齐了。比如说基于硬件,全盘加密。我们每年都在升安卓版本,但是从来没有升级以后感觉安全了,我们从来没有这样的感觉。也就是说我们这种功能可能没有起到实际的效果,那么安卓生态现在的瓶颈在哪儿?表面上看开放,权限比较多。大家在安卓上可以有短信验证码,苹果已经没了。苹果既做软件,又做硬件,就是软硬一体的解决方案。
但这些都不是关键,安卓生态跟苹果系统最大的差距在哪儿?在于安卓生态没有法官,苹果生态有法官。大家犯了什么错误去法院,如果一个系统没有法官,那这个系统就是崩溃的。如果苹果系统开发一些接口,获取用户的敏感信息,可能让你下架。但是安卓不一样,你不让我上,我发布到别的平台。如果安卓生态没有一个法官出现,它可能很难达到苹果的感官。苹果每年发布的手机从来没有说安全,但是消费者的感觉是苹果是封闭的,比较安全。
现在介绍多层次保护体系。我认为关键问题,是我们在这些点上是不是真正做到了完美,或者预期效果。先介绍一下伪基站保护。伪基站是整个行业最大的问题,大量的恶意软件或者恶意钓鱼链接都是通过伪基站发送。这个问题为什么存在了很多年,还没有解决?我认为伪基站从技术架构上感觉是伪基站手机的健全体系,还是SIM卡,终端没有扮演什么角色。这是二级网络,这是基站,这是SIM卡或者终端,这个体系里面没有完成双向的。只有基站健全了SIM,但是SIM没有健全基站。伪基站不是单向的,其实不然。我们可以看到这个地方,我们说2G、3G、4G演进过程中,还有一个特性这中间数据的完整性保护和加密保护。我们说其实2G已经具备了加密保护,但是事实上2G这个体系里面即使健全,我只要把加密保护起用了照样可以防伪基站。但是这个东西就是历史遗留的原因。我们说GSM网络是存量的网络,要想对这些东西进行改造那成本太大了。我们说在3G、4G里面,既有双向健全,同时也有数据包,这样就可以很好地解决基站问题。现在最大的问题是GSM覆盖,它每天处在我们的生活中,我们如何解决这个问题?我先介绍一下怎么攻击。我们现在打电话就知道了,不管在哪个运营商的网络,只要打电话就会回到GSM。如果你回到GSM以后,伪基站就在这里,它的信号要比我们正常的信号强得多。其实说我正常处于4G网络,如果正常的信号也会通过驻留回到GSM,这就是实际的背个包,或者骑个车子就被伪基站攻击了。
伪基站攻击怎么解决?首先,伪基站的问题是出在网络架构上。我们首先的诉求看运营商能不能帮我们解决这些问题,我们不说运营商马上把这个网络全换掉,你扩展认证机制也不现实。能不能有一些辅助的手段?我们看是有办法的。这是整个2G架构,左边是终端,右边是基站,中间是核心网。这个基站就是伪基站的位置,正常的基站有一个能力跟核心网进行通讯,而伪基站是没有能力跟核心网通讯的。这个时候伪基站跟基站最大的区别。我们基于这个原理,我们以后收到短信的时候,我希望后面附赘一个信息。不管是中国银行发的,或者我朋友发的,希望后面辅助一个信息,比如说我是强哥。让我看到因为这个信息从运营商后台获取的,伪基站获取不了。可以标注一下,因为现在运营商都实名制了,我把姓名推到后面,或者把伪号推到,或者用户自定义定制。来了一条短信就知道这条短信是不是伪基站发的,如果这个方案能够得到比较好的推广的话,那么我认为这个伪基站的问题可能会得到很好的解决。而且有一个很好的消息,我听到运营商已经有这样的方案会在行业推,如果这个方案能够规模化实施,成本要降低,同时起到很好的防护效果。
我们作为终端厂商也不能坐以待毙,我们也不能等着运营商去做。尤其终端平台,我们希望是不是在芯片上做一些事,这就是我们提出的芯片层的伪基站攻防。我们说伪基站的核心是切换到GSM上攻击。我们整个芯片上会把所有GSM的流程进行控制,不管是位置发生以后重选,还有GSM搜网,甚至切换到CSFB目标小区驻留。目的就是不让它附着到伪基站,很关键的一点就是对伪基站的画像。伪基站如何画像?这个地方有一个好处,你如果通过芯片层面做的好。伪基站根本用户连不上,如果你这个画像有问题了,那可能影响正常通信了。如果把正常的基站也当伪基站处理了,影响正常通信,这个问题是不允许的,不能因为伪基站去影响用户基本的通信。所以说这个地方的核心就是伪基站画像。伪基站的画像参数是很多的,我没有单列出来,但是这些数据是从何而来?是平台和团队,长期在外面测试的时候总结出来的参数和数据。这是从芯片层面。
我们其实可以做芯片,我们从芯片层面做。还有很多厂商是应用厂商,芯片改不了,他们也有很多种方式。现在其实过于依赖大数据,我认为大数据这个东西有时候可能要有一批用户作为牺牲品,去扮演这样的角色。其实我们不希望有牺牲的人,但是现在也有两种方式来解决。第一个就是我们做UI,什么意思呢?我们现在95555这是招商银行的服务电话,我们对每一个95555来的短信里面,我实时跟招行提供一个URL进行匹配,这样就可以实现你合作机构百分之百的确定,而不是说像是大数据一样动不动99.99%,但是还是没有实现100%。有些短信里面,请你呼叫你的号码,这种东西我们希望通过,也就是95555收到一个短信以后,由招行后台回馈,这个事如果你做过的话我就yes,如果你没做过就是伪基站发的,我就把它标出来。现在为什么说这种方案我们也可以做?这里面涉及的产业比较多,大部分厂商都想着尽量自己干,不想跟一家一家银行和机构去谈。如果有一个产业链把大家纳入进来,如果这种事情真正成为标配的话,对于这种伪基站的攻击和解决也是有很大的作用。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。