指紋識別離安全支付還有多遠？

　　2015年指紋識別成為智能手機的重要賣(mài)點(diǎn)，配置率節節攀升，有媒體預測2016年將達到50%的配置率。人行在2015年末正式將金融賬戶(hù)細分為3個(gè)安全等級，立法層面承認了數年來(lái)的金融創(chuàng )新嘗試，正式開(kāi)閘。

　　支付寶的IOS版本和Android版本都可以進(jìn)行指紋支付，卻有不同的待遇：在IOS設備認證一枚已注冊指紋后，所有注冊指紋都可用于支付;而在包括三星和華為的旗艦Android手機上認證一枚指紋后，只能用認證指紋進(jìn)行支付，其余的注冊指紋皆不可使用。

　　這要鬧哪樣?更有甚者，微信和百度錢(qián)包在對IOS開(kāi)放指紋支付的同時(shí)，無(wú)視了絕大部分裝載了指紋識別功能的Android手機。難道BAT要聯(lián)手起來(lái)粉IOS踩Android?要知道IOS是純美國范，Android陣營(yíng)多的是中國智能手機，遭到歧視的到底是Google，是Qualcomm，還是國貨?

　　BAT當然沒(méi)有歧視誰(shuí)的必要，都怪安全性不足惹的禍。2015年Black Hat大會(huì )上首次公開(kāi)提出繞開(kāi)不完全的安全體系對Android智能手機進(jìn)行系統攻擊的概念。其中一種攻擊叫Fingerprint Backdoor，預先注冊一枚指紋，并在UI中隱藏該指紋使消費者無(wú)法得知其存在，當消費者賦予自己注冊的指紋某種權限時(shí)，該預置指紋就可能獲得該權限。所以支付寶必須對Android手機差別對待，否則就是向Fingerprint Backdoor攻擊打開(kāi)大門(mén)。

　　那么IOS怎么防止此類(lèi)系統攻擊呢?請參考蘋(píng)果公司在2014年2月發(fā)布的安全白皮書(shū)，提出了Secure Boot Chain、Secure Element、Secure Enclave、Touch ID、NFC Controller為支柱的硬件安全體系。這就是在A(yíng)pple Pay背后支撐起終端安全的五大金剛，環(huán)環(huán)相扣。

　　先說(shuō)Secure Boot Chain，這是基于硬件簽名校驗以確保操作系統和關(guān)鍵軟件不被篡改不被回滾的技術(shù)。蘋(píng)果自己開(kāi)發(fā)CPU自己開(kāi)發(fā)OS，軟硬搭配除了干活不累，信息安全也是手到擒來(lái)。再看Android，除了原生版本由Google發(fā)布，客制版本先經(jīng)AP商定制再由手機廠(chǎng)商修改發(fā)布，kernel里甚至植入第三方供應商編寫(xiě)的驅動(dòng)代碼。此等情形，莫說(shuō)Secure Boot，有沒(méi)有被插入惡意代碼都說(shuō)不清。

　　再看Secure Element，作為全球公認的金融支付標準配置，到目前為止，支持Android的硬件平臺不但沒(méi)有集成，連專(zhuān)用接口都沒(méi)留。所以Google干脆推出HCE，虛擬化SE，也是迫于A(yíng)ndroid生態(tài)鏈刻意弱化SE這個(gè)無(wú)奈的現實(shí)。

　　接下來(lái)是Secure Enclave，這來(lái)自ARM的Trust Zone技術(shù)。在信息安全領(lǐng)域，安全技術(shù)往往被叫做Secure XXX，安全系統才可以叫做Trust XXX。蘋(píng)果在2013年基于A(yíng)RM于2004年發(fā)布的Trust Zone技術(shù)設計了Secure Enclave，一個(gè)命名就把蘋(píng)果的實(shí)事求是和ARM的掩耳盜鈴告白于天下：把Secure XXX叫做Trust XXX的，乃意淫不上稅也。

　　最后是Touch ID和NFC Controller。IOS和Android陣營(yíng)的區別在于，前者有密碼部件支持，后者用明文傳輸。2015年三星Galaxy S5被爆Finger Spy漏洞，用惡意APP控制Fingerprint Sensor即可直接竊取指紋圖像，說(shuō)明其在信息安全上的幼稚程度。這并非個(gè)例，而是Android生態(tài)碎片化造就的普遍惡果。

　　如果假以時(shí)日Android陣營(yíng)把蘋(píng)果使用的技術(shù)都學(xué)會(huì )是不是就夠了呢?要知道信息安全是在攻守中持續發(fā)展的技術(shù)領(lǐng)域，不存在一勞永逸的安全。Android產(chǎn)業(yè)鏈在信息安全建設上存在巨大的先天缺陷，正如下面這個(gè)段子：

　　話(huà)說(shuō)瞎子背著(zhù)瘸子趕路，瘸子突然大叫“溝!溝!溝!”，瞎子以為瘸子唱歌，應道“阿勒，阿勒，阿勒”，然后瞎子背著(zhù)瘸子沖溝里去了。這里講的是，雖然瞎子有腿瘸子有眼睛，但合起來(lái)也不能等同于功能健全的正常人，該掉溝就得掉溝。和蘋(píng)果公司相比，Android產(chǎn)業(yè)鏈在信息安全系統的架構能力上正是這樣的天殘組合。

　　一旦發(fā)現了新的致命漏洞，蘋(píng)果和Android陣營(yíng)分別會(huì )做什么呢?蘋(píng)果的五大金剛當然為自家的Apple Pay負責，第一時(shí)間響應，第一時(shí)間實(shí)施最優(yōu)的解決策略，可以立即停止舊版本IOS的支付功能推送新版本IOS，甚至把Apple Pay、iTunes Store和App Store暫時(shí)關(guān)閉來(lái)爭取時(shí)間。反觀(guān)要是Android手機底層漏洞威脅到了BAT的支付平臺，誰(shuí)來(lái)補救，誰(shuí)有能力補救，誰(shuí)來(lái)組織補救呢?

　　平臺的開(kāi)放性和信息安全是一對矛盾，一方面信息安全必須依賴(lài)于軟硬件深度結合和環(huán)環(huán)相扣的精細化設計，另一方面為了加速商業(yè)化需要建立以兼容性為基石的開(kāi)發(fā)產(chǎn)業(yè)鏈模式。這個(gè)經(jīng)典的喬布斯與比爾蓋茨之爭，在今天仍然是科技發(fā)展中主要論題之一。蘋(píng)果公司是獨一無(wú)二的，微軟公司經(jīng)過(guò)這么多年的積累尚解決不好傳統PC的信息安全，Google推出Android才幾載，能怎么樣呢?只要繼續兼容性?xún)?yōu)先，只要繼續碎片化，Android陣營(yíng)各環(huán)節之間就免不了像瞎子和瘸子的組合一樣，一旦出事只能相互指責為豬隊友。

　　幸而，支付安全和手機安全是有交疊但不等同的兩件事，不見(jiàn)得必須啃下手機安全的硬骨頭才能實(shí)現支付安全。例如網(wǎng)銀U盾不就實(shí)現了超越PC安全的網(wǎng)絡(luò )銀行安全么?只要我們跳出終端安全的深坑，就會(huì )看到，安全支付只有兩個(gè)環(huán)節：Trust UI和Trust Confirm。前者指支付平臺傳遞給消費者的交易信息是可信的，不會(huì )出現實(shí)際交易額10000元只給你看100元讓你以為撿到個(gè)便宜的事情;后者指消費者傳遞給支付平臺的確認是可信的，既不可偽造，也不可抵賴(lài)。指紋識別具備不可偽造和不可抵賴(lài)的特性，只要保護好調度、儲存、運算和傳輸就構成Trust Confirm;再配合以Trust UI，支付平臺到人的直接互信連接就實(shí)現了。

　　在線(xiàn)下支付場(chǎng)景，Apple Pay提供了解決方案：用手機刷POS機，手機無(wú)須開(kāi)機，由Touch ID + Secure Enclave + Secure Element + NFC提供Trust Confirm，POS機作為銀行終端提供Trust UI。在線(xiàn)上支付領(lǐng)域，網(wǎng)銀U盾的發(fā)展歷程也可作為借鑒：在1代U盾基礎上增加自帶屏幕引入Trust UI成為2代U盾;再將指紋識別引入實(shí)現Trust Confirm，就是有完整可信回路的3代U盾系統。2015年人行發(fā)文件要求各種支付途徑使用相同的技術(shù)體系避免重復建設，其意所指，正是線(xiàn)下和線(xiàn)上支付系統應具備技術(shù)統一性。在兩個(gè)環(huán)節之間，Trust UI的等效替代手段多樣，比如語(yǔ)音電話(huà)通知、短信等等，可以循序漸進(jìn)，真正急迫的問(wèn)題只Trust Confirm而已。

　　可惜，大多數國產(chǎn)Android智能手機在A(yíng)RM為首的上游供應商的鼓動(dòng)下正急著(zhù)投身Trust Zone的虛影之中，甚至無(wú)暇關(guān)注BAT們的冷眼相對。ARM的Trust Zone只能提供對運算的保護和對儲存的有限保護，完全無(wú)法實(shí)施對調度和傳輸的保護，這正是可以從調度和傳輸兩個(gè)角度進(jìn)行系統攻擊的根源所在。Trust Zone的擁護者們把Trust Zone鼓吹為實(shí)現局部安全的保險箱，比完全不設防或全面壁壘高筑都更“優(yōu)(中)越(庸)”，這簡(jiǎn)直是為了收License費用而編造的謬論。信息安全領(lǐng)域所考慮的永遠是攻防雙方的博弈，“部分安全”毫無(wú)價(jià)值。一個(gè)堡壘只要剩一扇門(mén)一道墻不守，就跟完全沒(méi)有防御一樣可以輕易攻破。僅2015年Black Hat大會(huì )上公布的系統攻擊就有Confused Attack、Storage Attack、Finger Spy和Fingerprint Backdoor四類(lèi)之多，經(jīng)這腦洞大開(kāi)的攻擊思路的提示，有多少聰明的Hacker能構思出多少巧妙的攻擊組合不言而喻。系統攻擊一旦實(shí)施，竊賊根本不用進(jìn)入堡壘，只要發(fā)號施令便使守衛乖乖奉上金錢(qián)。既如此，那竊賊還進(jìn)入堡壘干嘛?是否Trust Zone技術(shù)正是通過(guò)支持監守自盜來(lái)免除自身的被攻擊價(jià)值，從而使Trust Zone的供應方無(wú)技術(shù)責任之虞?

　　須知，“竊”的最高境界是“奴役”，使被竊者處于無(wú)知狀態(tài)，可以長(cháng)期割肉?？珊薜牟恢故琴\人，也有失職的守衛，不但不加辨識的執行命令將財產(chǎn)拱手出賣(mài)，還能使斷絕失竊者追回損失的機會(huì )：通過(guò)系統攻擊進(jìn)行的非本人的支付行為，事后無(wú)法通過(guò)技術(shù)手段與本人的使用區分開(kāi)，這就觸發(fā)本人手機上經(jīng)過(guò)本人指紋確認的支付行為的不可抵賴(lài)性。對支付平臺來(lái)說(shuō)，盡管從技術(shù)和法律的角度都可以免責，但消費者終究會(huì )用腳來(lái)投票，棄用該手機品牌的同時(shí)，也棄用該支付平臺?！澳阕髂跷乙黄鸨澈阱仭?，商譽(yù)受損如何能容忍?所以BAT歧視國產(chǎn)Android手機的現實(shí)，必須發(fā)人深省。

　　Copy to China終究是下策，就算“拿來(lái)”也應該拿先進(jìn)而非落后。不調查研究卻人云亦云自愿上當，看不懂風(fēng)險就編造說(shuō)法忽視風(fēng)險，正是中國產(chǎn)業(yè)升級道路之殤。只有根除懶惰和自卑，尊崇理性基于邏輯進(jìn)行分析判斷，才能斷絕愚昧。幸而舊路的終點(diǎn)往往正是新途的起點(diǎn)，普遍匱乏中孕育著(zhù)機遇，只有慧眼獨到者才能把握機遇，自創(chuàng )風(fēng)口，迎難而上。