網(wǎng)上有很多關(guān)于藍(lán)牙寶pos機(jī)安全嗎,移動(dòng)支付安全性不容忽視的知識(shí),也有很多人為大家解答關(guān)于藍(lán)牙寶pos機(jī)安全嗎的問(wèn)題,今天pos機(jī)之家(www.rcqwhg.com)為大家整理了關(guān)于這方面的知識(shí),讓我們一起來(lái)看下吧!
本文目錄一覽:
藍(lán)牙寶pos機(jī)安全嗎
移動(dòng)支付網(wǎng)訊:如今,手機(jī)掃碼支付已隨處可見(jiàn),小微商戶只需展示收款二維碼即可完成收款交易。在張貼收款二維碼的付款方式下,如何快速確認(rèn)消費(fèi)者付款情況,成為一個(gè)難題,因此收款音箱應(yīng)運(yùn)而生。
收款音箱接收收款端付款信息,并將交易情況以語(yǔ)音的形式播報(bào)出來(lái),播報(bào)聲音清晰、筆筆播報(bào)、即時(shí)播報(bào),能縮短商家確認(rèn)收款的時(shí)間,減少少付、逃單、漏單等情況出現(xiàn),同時(shí)也能避免消費(fèi)者提供虛假付款截圖而造成商戶的經(jīng)濟(jì)損失。因此收款音箱極大方便了商家收款體驗(yàn),受到小微商戶的青睞。
在《關(guān)于開展小店經(jīng)濟(jì)推進(jìn)行動(dòng)的通知》中提出新經(jīng)濟(jì)形式,地?cái)偨?jīng)濟(jì)興起,眾多個(gè)體從業(yè)者紛紛參與到小店經(jīng)濟(jì)中,使得收款音箱的需求進(jìn)一步提升。
據(jù)筆者了解,市場(chǎng)上收款音箱出貨量在3到4千萬(wàn)臺(tái)左右。市場(chǎng)上收款音箱質(zhì)量參差不齊,筆者針對(duì)收款音箱的安全性僅從技術(shù)層面做如下探討,也希望其他技術(shù)大佬多多提出意見(jiàn)。
一、收款音箱安全分析
收款音箱一般定義為物聯(lián)網(wǎng)設(shè)備,在使用前一般與支付平臺(tái)進(jìn)行商戶綁定,商戶訂單完成后將訂單信息推送至IoT云平臺(tái)服務(wù)端,云平臺(tái)再將交易結(jié)果推送給收款音箱(收款音箱產(chǎn)品交易流程參見(jiàn)下圖),從安全數(shù)據(jù)交互的角度來(lái)看主要分為兩部分:
1、收銀APP側(cè)數(shù)據(jù)安全
收銀APP側(cè)安全主要在于收款音箱設(shè)備綁定過(guò)程,收款音箱ID與商戶賬戶綁定,同時(shí)確保商戶賬戶信息不被泄露,主要攻擊在于替換掉商戶正確綁定的收款音箱設(shè)備。因此,這一鏈路的安全主要落在收單機(jī)構(gòu)身上,收銀APP以及支付平臺(tái)的安全起到關(guān)鍵作用。若商戶賬戶信息、登陸密碼未被泄露,綁定過(guò)程中具有加密保護(hù),則攻擊難度較大(央行發(fā)布金融科技產(chǎn)品認(rèn)證中已經(jīng)對(duì)APP安全做過(guò)要求)。
2、收款音箱側(cè)數(shù)據(jù)安全
從云平臺(tái)推送消息給收款音箱這一鏈路來(lái)考慮,收款音箱與云平臺(tái)之間的消息交互若被攻破,可直接改變交易結(jié)果,或者隨意向收款音箱發(fā)送交易信息,此時(shí)播報(bào)的信息就未必是顧客真實(shí)付款的交易了,后果嚴(yán)重。筆者對(duì)市場(chǎng)上主流收款音箱產(chǎn)品進(jìn)行研究,發(fā)現(xiàn)收款音箱與云平臺(tái)之間的消息交互若未做足夠的安全保護(hù),則容易遭到篡改。
攻擊過(guò)程如下:
1)先獲取或破解收款音箱連接的Wi-Fi密碼;
2)在樹莓派上偽造一個(gè)與收款音箱連接相同的Wi-Fi名稱和密碼的熱點(diǎn);
3)對(duì)收款音箱連接的真實(shí)Wi-Fi進(jìn)行攻擊,令其不能連接到真實(shí)Wi-Fi;
4)利用收款音箱自動(dòng)連接的過(guò)程,連接到偽造的熱點(diǎn);
5)若收款音箱與云平臺(tái)之間的數(shù)據(jù)交互未做足夠安全保護(hù),采用中間人攻擊或重放攻擊,就可完全控制收款音箱與云平臺(tái)之間的數(shù)據(jù)交互了。此時(shí)可抓取交易播報(bào)消息,然后對(duì)交易信息進(jìn)行重放或者隨意向收款音箱播報(bào)付款信息,做到在未付款的情況下,收款音箱正常播報(bào)偽交易信息。
3、其他安全思考
上述分析主要聚焦在交互數(shù)據(jù)攻擊上,筆者還從其他角度思考了收款音箱存在的安全風(fēng)險(xiǎn):
1)收款音箱終端存儲(chǔ)敏感信息若未進(jìn)行有效保護(hù),也存在相關(guān)風(fēng)險(xiǎn);
2)網(wǎng)絡(luò)環(huán)境選擇,在通訊過(guò)程中,Wi-Fi連接采用空密碼、WEP安全性低的加密方式,也易造成數(shù)據(jù)通訊的安全風(fēng)險(xiǎn)。
收款音箱的風(fēng)險(xiǎn)需要多維度攻擊,才能達(dá)到破譯、篡改播報(bào)信息的目的。但當(dāng)收款音箱與云平臺(tái)數(shù)據(jù)交互未做足夠安全保護(hù)的情況下,則容易實(shí)施中間人攻擊,進(jìn)行破譯、篡改播報(bào)信息比較簡(jiǎn)單,容易被不法分子所利用。
二、安全意見(jiàn)和建議
收款音箱作為一款收款工具,具備成本低、使用方便等特點(diǎn),廠商在產(chǎn)品安全設(shè)計(jì)上也可以參考一部分POS的安全方式進(jìn)行設(shè)計(jì),筆者從以下幾方面建議:
1)設(shè)備啟動(dòng)應(yīng)具有可信啟動(dòng)鏈,可以進(jìn)一步防止被篡改而未能被用戶發(fā)現(xiàn);
2)收銀APP應(yīng)該符合人行的管理要求,做好敏感信息的保護(hù)和防護(hù)等工作;
3)設(shè)備存儲(chǔ)敏感數(shù)據(jù)應(yīng)進(jìn)行足夠安全保護(hù)處理,防止敏感信息泄露;
4)設(shè)備傳輸過(guò)程應(yīng)做好網(wǎng)絡(luò)通信的加密保護(hù)等;
5)設(shè)備盡量使用可信的網(wǎng)絡(luò)環(huán)境。
收款音箱是一款新型的收款設(shè)備,它具備的優(yōu)點(diǎn)得到了市場(chǎng)的肯定,但對(duì)于可能存在的風(fēng)險(xiǎn)也不應(yīng)回避。筆者通過(guò)多年的網(wǎng)絡(luò)安全經(jīng)驗(yàn)總體來(lái)看,收款音箱安全主要風(fēng)險(xiǎn)在于網(wǎng)絡(luò)傳輸中的安全保護(hù)。
中國(guó)電子支付市場(chǎng)領(lǐng)先全球,中國(guó)的支付設(shè)備在海外受到廣大客戶的青睞,這些都源于優(yōu)秀的產(chǎn)品設(shè)計(jì)和精益求精的工匠精神。針對(duì)支付設(shè)備的創(chuàng)新讓我們看到了廠商前赴后繼的拼搏精神,在這種情況下產(chǎn)品的安全問(wèn)題更加不容忽視,應(yīng)該兼顧人性化設(shè)計(jì)和安全性設(shè)計(jì)多維度考慮。
守住初心,擔(dān)負(fù)支付創(chuàng)新的使命,建立更加繁榮的支付市場(chǎng)。
以上就是關(guān)于藍(lán)牙寶pos機(jī)安全嗎,移動(dòng)支付安全性不容忽視的知識(shí),后面我們會(huì)繼續(xù)為大家整理關(guān)于藍(lán)牙寶pos機(jī)安全嗎的知識(shí),希望能夠幫助到大家!