论坛首页 海阔天空论坛

很无聊,八一八国内的互联网安全(2) 移动支付

浏览 852 次
精华帖 (0) :: 良好帖 (0) :: 灌水帖 (0) :: 隐藏帖 (0)
作者 正文
   发表时间:2017-01-15  
一. 银联
我了解国内最早做移动支付的应该是银联了,有没有更早的我就不知道了。

银联的移动支付之所以玩不起来,如下:
   1. 那玩意实际就是把现有的线上(互联网)线下(POS)已有商户搬到移动端而已,支持的商户少得可怜。
   2. 自己内部问题,他们内部都在画地盘,甚至都快被A家把市场蚕食没了还在内斗,玩儿个P啊。
   3. 当年的银联支付插件很有意思,市场上可见的并不是由一家做的,N家在做,银联都认,每家各自发布,银联和各家的分成办法是按你流量,这样的方式如何保证市场占有率?

技术方面:
   安全来说,我了解的不多,但我接触到的,初期使用客户端/服务器通讯使用SSL/HTTPS的基本没有,也就是说,简单的免费WIFI方式窃取支付信息都是可行的,后期不了解了。
   支付渠道基本选择的都是快捷支付,WIFI可窃/听(MD这都是关键字啊)的信息为快捷支付4要素:
      卡号/身份证号/姓名/预留手机号

二. 各手机银行
   可以吐槽下各手机银行居然在移动端使用卡密吗?感觉大家为了方便,玩儿的有点过了。
   科普下卡密的传输先(各大手机银行咋加密的不了解,这里说的是线下): 卡密这东西在线下是渠道不落地的,就是说,你的卡密在ATM(以及POS)上输入后马上加密,但ATM自己是解不开的,沿途各渠道也是无法解开的(印象中不光不解,还转PIN再搞一把),只有信息发到核心系统才能被解开。
   这里还有个POS(ATM不了解...)灌密的问题,每个POS并不是置个商户号就能用的,那个玩意是每机一密的(不会重复使用密钥).
   ATM好像比较弱诶,这里说个国内某行安全事故: 典型交易要素没理解透的程序员(其实不怪小程序员,应该怪IT大环境)干的,他们ATM取款报文签名为:账户/金额,MMD交易流水号没签!!! 结果吗,被人换流水号用同样账户/金额/签名伪造报文,具体案情不太了解,个人感觉是通讯链路被搞定了,或者链路根本就没加密。
   好了,该喷卡密的事情了,请问以下几点各手机银行做到了吗:
  
   1. 卡密不能在客户端内存中连续存放,最优解决方案应为每输入一个字符做一次加密,但这样的话,是否符合X9.8(也许是X9.9不记得了)卡PIN加密方式我没验证过。
   2. 客户端的东西,你再咋搞,软件甚至密钥都到我手里了,针对性的做破解的话,获取卡密应该不难,这里联系到上篇的坑(非HTTPS渠道下载,甚至根证书区域污染),我包一层把客户端丢给下载者,and so...(再吐槽国内的乱七八糟市场,敬告各位:下载手机银行等要命软件,请去银行官网下载,官网官网官网!!!!)

三. 重头来了,A&T(感觉他们根本配不上这高大上的名字啊),CP你家别笑,一样的
   客户端支付从最早出现到现在,有个非常非常恶心的问题根本没法解决:
   1. 针对CS形式的插件调用,请问如何让用户判断跳出来的支付框是您A&T的?这里我是不是可以做个假的入口让你输入支付/登录信息?
   2. B/S的更扯了,别笑,现在还很多:支付的时候您给我弄个webview内嵌的登录/支付界面,URL看不到!!!!(其实看到也没法当真,我可以做个假的URL框框摆那骗你),让我如何判断这个页面是您A&T的?
   3. a&t躺枪表示对不起咯(老的A&T已经没了,现在是a&t)



  
论坛首页 海阔天空版

跳转论坛:
Global site tag (gtag.js) - Google Analytics