關于支付寶和Apple Pay在線下支付時安全問題的對比分析

胡曉雪+任子夜+顏姚+劉鑫

摘 要：2016年2月18日Apple Pay在中國正式上線，其快捷時尚的支付形式引領了移動支付的又一潮流。Apple Pay與銀聯(lián)的聯(lián)合對支付寶的線下支付造成了一定的沖擊。本文從支付機制和使用風險方面將支付寶和Apple Pay的安全問題進行了對比分析，并提出了相應的風險控制方案。

關鍵詞：支付寶；Apple Pay；掃碼支付；標記化技術

中圖分類號： F713.36；F831.2 文獻標識碼： A 文章編號： 1673-1069（2017）05-90-2

1 支付機制

1.1 支付寶

為了向用戶提供更為安全、簡單、快速的支付解決方案，支付寶官方推出了集手機支付和生活應用為一體的手機軟件——支付寶錢包。支付寶錢包主要在IOS、Android設備上使用，可以讓用戶可以隨時隨地通過手機進行支付。

在線下支付方面，支付寶主要有三種形式：

①聲波支付。聲波支付通過聲波的傳輸來完成支付設備和收款設備的近場識別，其具體使用原理是在支付寶手機軟件內(nèi)置有“聲波支付”功能，用戶購買售貨機里的商品時，打開此功能，用手機麥克風對準收款方的麥克風，手機就會播放一段“咻咻咻”的聲音，售貨機聽到這段聲波之后就會自動處理接收到的信息，用戶在手機上輸入密碼后售貨機就會吐出商品。

②“掃一掃”。“掃一掃”即我們常用到的二維碼支付。因為二維碼用來儲存信息的是水平和垂直方向的二維空間，所以能夠記載更復雜的數(shù)據(jù)，比如網(wǎng)絡鏈接、圖片等。商家把商品交易信息匯編成一個二維碼，并印刷在各種報紙、廣告、圖書等載體上就可以等待消費者掃描支付。消費者支付時，打開支付寶客戶端上的“掃一掃”，里面內(nèi)置了一個二維碼解碼器，可以對手機所掃描到的二維碼進行解碼，告知交易信息。消費者確認交易信息后，輸入支付密碼即可完成交易。

③條碼支付。條碼支付的核心是支付寶賬戶。消費者在選擇條碼支付結(jié)賬時，只要出示支付寶手機軟件上顯示的與賬戶關聯(lián)的動態(tài)隨機條碼，商戶可使用紅外線條碼掃描槍進行掃描，待消費者查看和確認付款信息后即可快速完成交易。其技術原理和二維碼類似。

1.2 Apple Pay

蘋果公司于2014年推出了Apple Pay這一項手機支付功能。用戶使用Apple Pay時需要先在蘋果手機（iphone6/iphone6s）系統(tǒng)自帶的？Wallet程序里添加銀行卡并成功激活。使用Apple Pay付款時只要將iPhone手機靠近有銀聯(lián)閃付標志的POS機，并將手指放在HOME鍵上驗證指紋，即可進行支付。一般來說，整個支付過程只需一兩秒鐘。

從技術原理看，Apple Pay的線下支付實際上就是NFC支付技術與iphone手機的結(jié)合。NFC支付技術允許電子設備之間進行非接觸式的數(shù)據(jù)傳輸。消費者在使用Apple Pay時，NFC發(fā)起設備（嵌入NFC芯片的iPhone手機）會用相同的連接和初始化過程檢測到商戶的NFC目標設備（POS機），并與之建立聯(lián)系。NFC發(fā)起設備將已經(jīng)經(jīng)過消費者本人同意的預先存儲在手機里的銀行卡信息發(fā)送到目標設備，此時POS機就可以讀取信息，扣除銀行卡里的相應金額，并以相同的速度將信息回饋到消費者的iPhone手機上，至此，消費者的支付完成。

2 使用風險

2.1 支付寶

消費者在使用聲波支付時，設備主要依靠播放的聲波來識別進而完成交易，并且對于每筆交易都會生成特定的聲波，所以不用擔心出現(xiàn)播放的聲波被錄音從而支付寶余額被盜用的情況。

生活中，“掃一掃”頗為流行，但很少有人知道，商家提供二維碼，顧客使用手機掃碼支付這樣一種支付方式，在2014年3月份的時候因為安全問題被央行下發(fā)緊急文件叫停過，直到2014年11月才解禁。①技術層面不是很成熟，有相對較多的安全漏洞和潛在風險；②攜帶病毒，目前還沒有針對二維碼安全性的技術檢測，許多病毒還是可以附著在商家所提供的這張二維碼上。這兩方面直接關系到客戶的信息安全與資金安全。

使用條碼支付進行收款的商家同樣存在安全風險。因為商戶需要用特定的設備掃描消費者支付寶錢包上生成的條碼，但目前沒有技術手段可以保證消費者支付寶錢包上條碼的安全性。對于更為普遍的提供二維碼供消費者掃描收款的商家而言，就曾出現(xiàn)過二維碼遭替換，從而造成財產(chǎn)損失的情況。

由于支付寶線下支付需要以手機終端為中介，那如果手機丟失了，消費者的賬戶安全能得到保障嗎？以安卓手機為例，第一防線——手機解鎖密碼是極易被突破的；這一防線之后被突破后，如果用戶設置了支付寶錢包可以記住密碼直接登錄，那么盜取者可以輕易點開支付寶錢包進行使用。即便是需要登錄密碼，盜取者也可以通過簡單的點擊忘記密碼-輸入手機號碼-獲取驗證短信-修改密碼程序來獲取新密碼進行登錄使用，第二道防線即被突破；由于目前支付寶支持小額（小于200元）支付免輸密碼功能，那么盜取者即可輕易盜刷支付寶余額，如需輸入密碼進行支付密碼，盜取者也可以點擊重置密碼進行修改，支付的最后一道防線即被突破。由此可以看出支付寶目前的賬戶安全認證十分薄弱，如果消費者在手機丟失后不能及時將手機卡掛失，綁定銀行卡凍結(jié)，支付寶賬戶將面臨極高的盜取風險。

2.2 Apple Pay

消費者使用Apple Pay進行支付時，需要先通過指紋或者Touch ID進行身份驗證，然后NFC控制器才會啟動安全芯片通道，向商戶傳遞有關交易信息。Apple Pay在這樣一個閉環(huán)的、非接觸式的支付過程中可以使銀行卡密碼等安全系數(shù)要求較高的相關數(shù)據(jù)不需要通過無線網(wǎng)絡就可以進行傳輸，避免了像支付寶支付那樣需要依托開放式網(wǎng)絡才能支付所帶來的安全隱患，降低了病毒入侵的概率。

在信息保密性方面， Apple Pay采用的是較為先進的Tokenization（標記化技術）。在 Apple Pay 的支付流程中，用戶的Iphone手機實際儲存并不是用戶銀行卡相關的支付信息，而是蘋果公司稱之為DAN（設備賬號 / Device Account Number）的支付標記。用戶在設備上綁定銀行卡時，相關銀行在驗證身份信息之后會向手機下發(fā)DAN支付標記。DAN 存放于手機上的安全芯片內(nèi)，僅本機可讀，蘋果公司不會將用戶的DAN上傳至服務器，甚至蘋果公司在云端都無法訪問到DAN，有效保護了用戶支付信息的安全。

應對手機丟失的情況，用戶可以首先用Touch ID進行保護，在遠程通過“查找我的iPhone”應用，或iCloud.com網(wǎng)頁將設備設為“丟失模式”，Apple Pay便會停止工作。因為蘋果手機為了保護設備賬戶安全，有如果手機用戶注銷Touch ID賬戶或者擦除設備上的內(nèi)容，那么會自動刪除綁定在這臺設備中所有卡片技術支持。所以如果用戶支持Apple Pay的手機遭到盜取，盜取者難以通過獲取用戶的指紋或者Touch ID的密碼進行支付，在用戶遠程掛失設備之后，設備中綁定的銀行卡會自動刪除，這樣即使手機被破解，支付賬戶也無法使用。

總的來說Apple Pay的安全程度基本等同于現(xiàn)有的基于芯片卡的支付，用戶所面臨的支付安全風險比較低。

3 相關控制

3.1 消費者個人層面

基于以上分析我們可以知道在使用支付寶進行線下支付時，聲波支付的安全性高于條碼支付，但在我們?nèi)粘Ｉ钪?，出于便捷性和成本的考慮，還是使用各種條碼支付的情況更多。在這樣的情況下，消費者所要面臨的安全風險還是比較高的。

在必須進行條碼支付時，消費者在掃描前先判斷二維碼發(fā)布來源是否可靠，掃描時應該選用專業(yè)的加入檢測功能的掃碼工具，掃到可疑網(wǎng)址時，會有安全提醒。如果需要掃描二維碼來安裝軟件，在安裝好之后要用殺毒軟件先掃描一遍。注意密碼保護，關閉小額支付免密碼功能，在支付時選擇使用支付寶余額進行支付，同時避免留過多的錢在支付寶賬戶內(nèi)。提供二維碼收款的商家要固定二維碼，不定時核對收款賬戶以防止二維碼被替換。

用戶如果選擇使用Apple Pay進行支付，總體安全風險較低。因為與用戶設備綁定的Touch ID是重要保障，所以用戶在設定Touch ID密碼時要保證足夠的復雜度，綁定Touch ID的郵箱盡量不要在設備上設定記住密碼自動登錄，以防止盜用者循著原有登錄軌跡修改密碼。在設備丟失后要及時抹失手機數(shù)據(jù)，保護賬戶安全。

3.2 技術層面

技術人員應當對二維碼的安全性進行更嚴格的檢測，防止惡意病毒的附著。在安全認證方面，應該加大技術方面的投入，改變現(xiàn)有的直接將驗證碼發(fā)送至用戶手機的模式，可以將安全認證與用戶郵箱相連，將驗證碼下發(fā)至用戶郵箱，多一層保障防止密碼被隨意篡改。

因為QQ郵箱使用的普遍性，大多數(shù)用戶習慣將設備的Touch ID綁定到QQ郵箱上，蘋果公司也應當加強對Touch ID的管理，防止再出現(xiàn)由于QQ郵箱遭黑客入侵，從而用戶的Touch ID遭篡改的事故。

3.3 法律監(jiān)管層面

即使現(xiàn)在有《支付清算組織管理辦法》、《電子簽名法》、《電子支付指引（第一號）》等法律的存在，但支付寶線下的支付并沒有明確的監(jiān)管機構(gòu)，也沒有對應的法律法規(guī)，其法律效應處于一種模糊狀態(tài)，這使得支付寶支付下缺少后天的法律保護，暴露在風險之下。有關部門應當要加強法律監(jiān)管，對買賣雙方在交易過程中各自應承擔的法律責任等法律問題進行明確的立法并加以規(guī)范。

雖然Apple Pay2016年2月才進入中國市場，但有關法律監(jiān)管部門應當盡快將其納入法律法規(guī)的監(jiān)管之中， 因為這種游離于法律監(jiān)管之外狀態(tài)的持續(xù)必然會危及這類移動支付的穩(wěn)定發(fā)展，也無法對商家、用戶等使用者給予足夠的法律救濟措施。

4 結(jié)語

無論是作為移動支付龍頭的支付寶還是作為后起之秀的Apple Pay，其存在的目的都是為了最大程度簡化支付，便利消費者的生活，但我們在享受便利的同時同樣不能忽視對支付安全問題的關注。為了實現(xiàn)安全與便捷的共存，支付寶也好，Apple Pay也好，都還有諸多方面可以加以完善。

參 考 文 獻

[1] 叢研敏移動金融支付革命[M].第1版.北京：清華大學出版社，2016.

[2] 潘晨.Apple Pay用戶移動支付法律風險[J].法制與社會，2016（13）.

[3] 吳智宇.深度解析Apple Pay的安全鍵： Tokenization[J].技術推介，2015（11）.

[4] 李曉楓，汪東艷.Apple Pay安全機制分析——兼論對我國移動支付產(chǎn)業(yè)發(fā)展的政策啟迪[J].金融電子化，2014（12）.