随着移动互联网快速发展,移动支付迅速崛起,O2O模式成为线下商户经营的主要形式之一。智能POS的出现,其承载的聚合支付功能让O2O商业模式闭环成为可能,并因此在2016年、2017年得到了迅速的发展。但是,不同于传统银行卡支付终端的安全防护,基于开放的Android智能操作系统进行定制开发的智能POS面临着新威胁——漏洞。
漏洞是指系统存在的代码逻辑错误或缺陷,导致攻击者可在非经授权情况下,通过违反程序设计正常流程,进行非法读写、删除、运行等操作。目前漏洞的主要类型包括以下六个方面存在的漏洞:内核、功能库、系统框架及服务、应用、网络及多媒体、POS定制功能。且Android的漏洞分布零散、数量较多,目前Google公布所有Android版本有400多条漏洞,且每月新增10~20条,此外,Android被各终端厂商定制后呈现碎片化趋势,特别是支付终端的固件都有厂商的签名,漏洞的修复需厂商参与,无法通过通用的渠道进行修复。
据刘世英介绍,目前支付终端厂商和使用智能终端的收单机构对于Android漏洞的应对措施主要包括三个方面:
漏洞修复:对于漏洞要正面应对,规范化漏洞的跟踪分析与导入,持续性对漏洞实施修复工作。
主动防护:面对不断发现的漏洞,还需换个角度来进行考虑,通过监控利用漏洞进行攻击的目的和行为,在漏洞的攻击路径上进行主动防护,是避免未知漏洞造成危害的可行且有效的方法。
漏洞修复通道:漏洞修补和主动防护是根据漏洞情况不断更新的行为,因此建立远程的漏洞修复通道,及时修复漏洞和开发主动防护补丁,是避免漏洞造成危害的关键手段。
在本届移动金融安全大会中,众多分享嘉宾都表示,移动金融的安全并不是一个企业的事,而是需要产业链各方形成合力去守护。刘世英也认同此观点,针对智能POS的安全问题,刘世英呼吁需要共建安全的支付生态,并认为:
所有开放系统都有漏洞存在,漏洞并不可怕,及时修复漏洞才能保证安全。
在智能终端时代,设备安全不是通过认证的静态行为,而是一个在通过认证的基础上,持续进行漏洞修复和增加主动防护措施的动态行为,终端厂商和收单机构都需要转变观念。
建立动态持续的漏洞修复补丁更新通道与机制:终端厂商持续跟踪并发布漏洞补丁;终端厂商根据安全特性研发主动防护措施;收单机构和终端厂商共建OTA远程更新通道,实现补丁的远程更新,及时修复漏洞。
18221259202