指紋識別離安全支付還有多遠？

　　2015年指紋識別成為智能手機的重要賣點，配置率節(jié)節(jié)攀升，有媒體預測2016年將達到50%的配置率。人行在2015年末正式將金融賬戶細分為3個安全等級，立法層面承認了數(shù)年來的金融創(chuàng)新嘗試，正式開閘。

　　支付寶的IOS版本和Android版本都可以進行指紋支付，卻有不同的待遇：在IOS設備認證一枚已注冊指紋后，所有注冊指紋都可用于支付;而在包括三星和華為的旗艦Android手機上認證一枚指紋后，只能用認證指紋進行支付，其余的注冊指紋皆不可使用。

　　這要鬧哪樣?更有甚者，微信和百度錢包在對IOS開放指紋支付的同時，無視了絕大部分裝載了指紋識別功能的Android手機。難道BAT要聯(lián)手起來粉IOS踩Android?要知道IOS是純美國范，Android陣營多的是中國智能手機，遭到歧視的到底是Google，是Qualcomm，還是國貨?

　　BAT當然沒有歧視誰的必要，都怪安全性不足惹的禍。2015年Black Hat大會上首次公開提出繞開不完全的安全體系對Android智能手機進行系統(tǒng)攻擊的概念。其中一種攻擊叫Fingerprint Backdoor，預先注冊一枚指紋，并在UI中隱藏該指紋使消費者無法得知其存在，當消費者賦予自己注冊的指紋某種權限時，該預置指紋就可能獲得該權限。所以支付寶必須對Android手機差別對待，否則就是向Fingerprint Backdoor攻擊打開大門。

　　那么IOS怎么防止此類系統(tǒng)攻擊呢?請參考蘋果公司在2014年2月發(fā)布的安全白皮書，提出了Secure Boot Chain、Secure Element、Secure Enclave、Touch ID、NFC Controller為支柱的硬件安全體系。這就是在Apple Pay背后支撐起終端安全的五大金剛，環(huán)環(huán)相扣。

　　先說Secure Boot Chain，這是基于硬件簽名校驗以確保操作系統(tǒng)和關鍵軟件不被篡改不被回滾的技術。蘋果自己開發(fā)CPU自己開發(fā)OS，軟硬搭配除了干活不累，信息安全也是手到擒來。再看Android，除了原生版本由Google發(fā)布，客制版本先經(jīng)AP商定制再由手機廠商修改發(fā)布，kernel里甚至植入第三方供應商編寫的驅(qū)動代碼。此等情形，莫說Secure Boot，有沒有被插入惡意代碼都說不清。

　　再看Secure Element，作為全球公認的金融支付標準配置，到目前為止，支持Android的硬件平臺不但沒有集成，連專用接口都沒留。所以Google干脆推出HCE，虛擬化SE，也是迫于Android生態(tài)鏈刻意弱化SE這個無奈的現(xiàn)實。

　　接下來是Secure Enclave，這來自ARM的Trust Zone技術。在信息安全領域，安全技術往往被叫做Secure XXX，安全系統(tǒng)才可以叫做Trust XXX。蘋果在2013年基于ARM于2004年發(fā)布的Trust Zone技術設計了Secure Enclave，一個命名就把蘋果的實事求是和ARM的掩耳盜鈴告白于天下：把Secure XXX叫做Trust XXX的，乃意淫不上稅也。

　　最后是Touch ID和NFC Controller。IOS和Android陣營的區(qū)別在于，前者有密碼部件支持，后者用明文傳輸。2015年三星Galaxy S5被爆F(xiàn)inger Spy漏洞，用惡意APP控制Fingerprint Sensor即可直接竊取指紋圖像，說明其在信息安全上的幼稚程度。這并非個例，而是Android生態(tài)碎片化造就的普遍惡果。

　　如果假以時日Android陣營把蘋果使用的技術都學會是不是就夠了呢?要知道信息安全是在攻守中持續(xù)發(fā)展的技術領域，不存在一勞永逸的安全。Android產(chǎn)業(yè)鏈在信息安全建設上存在巨大的先天缺陷，正如下面這個段子：

　　話說瞎子背著瘸子趕路，瘸子突然大叫“溝!溝!溝!”，瞎子以為瘸子唱歌，應道“阿勒，阿勒，阿勒”，然后瞎子背著瘸子沖溝里去了。這里講的是，雖然瞎子有腿瘸子有眼睛，但合起來也不能等同于功能健全的正常人，該掉溝就得掉溝。和蘋果公司相比，Android產(chǎn)業(yè)鏈在信息安全系統(tǒng)的架構能力上正是這樣的天殘組合。

　　一旦發(fā)現(xiàn)了新的致命漏洞，蘋果和Android陣營分別會做什么呢?蘋果的五大金剛當然為自家的Apple Pay負責，第一時間響應，第一時間實施最優(yōu)的解決策略，可以立即停止舊版本IOS的支付功能推送新版本IOS，甚至把Apple Pay、iTunes Store和App Store暫時關閉來爭取時間。反觀要是Android手機底層漏洞威脅到了BAT的支付平臺，誰來補救，誰有能力補救，誰來組織補救呢?

　　平臺的開放性和信息安全是一對矛盾，一方面信息安全必須依賴于軟硬件深度結合和環(huán)環(huán)相扣的精細化設計，另一方面為了加速商業(yè)化需要建立以兼容性為基石的開發(fā)產(chǎn)業(yè)鏈模式。這個經(jīng)典的喬布斯與比爾蓋茨之爭，在今天仍然是科技發(fā)展中主要論題之一。蘋果公司是獨一無二的，微軟公司經(jīng)過這么多年的積累尚解決不好傳統(tǒng)PC的信息安全，Google推出Android才幾載，能怎么樣呢?只要繼續(xù)兼容性優(yōu)先，只要繼續(xù)碎片化，Android陣營各環(huán)節(jié)之間就免不了像瞎子和瘸子的組合一樣，一旦出事只能相互指責為豬隊友。

　　幸而，支付安全和手機安全是有交疊但不等同的兩件事，不見得必須啃下手機安全的硬骨頭才能實現(xiàn)支付安全。例如網(wǎng)銀U盾不就實現(xiàn)了超越PC安全的網(wǎng)絡銀行安全么?只要我們跳出終端安全的深坑，就會看到，安全支付只有兩個環(huán)節(jié)：Trust UI和Trust Confirm。前者指支付平臺傳遞給消費者的交易信息是可信的，不會出現(xiàn)實際交易額10000元只給你看100元讓你以為撿到個便宜的事情;后者指消費者傳遞給支付平臺的確認是可信的，既不可偽造，也不可抵賴。指紋識別具備不可偽造和不可抵賴的特性，只要保護好調(diào)度、儲存、運算和傳輸就構成Trust Confirm;再配合以Trust UI，支付平臺到人的直接互信連接就實現(xiàn)了。

　　在線下支付場景，Apple Pay提供了解決方案：用手機刷POS機，手機無須開機，由Touch ID + Secure Enclave + Secure Element + NFC提供Trust Confirm，POS機作為銀行終端提供Trust UI。在線上支付領域，網(wǎng)銀U盾的發(fā)展歷程也可作為借鑒：在1代U盾基礎上增加自帶屏幕引入Trust UI成為2代U盾;再將指紋識別引入實現(xiàn)Trust Confirm，就是有完整可信回路的3代U盾系統(tǒng)。2015年人行發(fā)文件要求各種支付途徑使用相同的技術體系避免重復建設，其意所指，正是線下和線上支付系統(tǒng)應具備技術統(tǒng)一性。在兩個環(huán)節(jié)之間，Trust UI的等效替代手段多樣，比如語音電話通知、短信等等，可以循序漸進，真正急迫的問題只Trust Confirm而已。

　　可惜，大多數(shù)國產(chǎn)Android智能手機在ARM為首的上游供應商的鼓動下正急著投身Trust Zone的虛影之中，甚至無暇關注BAT們的冷眼相對。ARM的Trust Zone只能提供對運算的保護和對儲存的有限保護，完全無法實施對調(diào)度和傳輸?shù)谋Ｗo，這正是可以從調(diào)度和傳輸兩個角度進行系統(tǒng)攻擊的根源所在。Trust Zone的擁護者們把Trust Zone鼓吹為實現(xiàn)局部安全的保險箱，比完全不設防或全面壁壘高筑都更“優(yōu)(中)越(庸)”，這簡直是為了收License費用而編造的謬論。信息安全領域所考慮的永遠是攻防雙方的博弈，“部分安全”毫無價值。一個堡壘只要剩一扇門一道墻不守，就跟完全沒有防御一樣可以輕易攻破。僅2015年Black Hat大會上公布的系統(tǒng)攻擊就有Confused Attack、Storage Attack、Finger Spy和Fingerprint Backdoor四類之多，經(jīng)這腦洞大開的攻擊思路的提示，有多少聰明的Hacker能構思出多少巧妙的攻擊組合不言而喻。系統(tǒng)攻擊一旦實施，竊賊根本不用進入堡壘，只要發(fā)號施令便使守衛(wèi)乖乖奉上金錢。既如此，那竊賊還進入堡壘干嘛?是否Trust Zone技術正是通過支持監(jiān)守自盜來免除自身的被攻擊價值，從而使Trust Zone的供應方無技術責任之虞?

　　須知，“竊”的最高境界是“奴役”，使被竊者處于無知狀態(tài)，可以長期割肉?？珊薜牟恢故琴\人，也有失職的守衛(wèi)，不但不加辨識的執(zhí)行命令將財產(chǎn)拱手出賣，還能使斷絕失竊者追回損失的機會：通過系統(tǒng)攻擊進行的非本人的支付行為，事后無法通過技術手段與本人的使用區(qū)分開，這就觸發(fā)本人手機上經(jīng)過本人指紋確認的支付行為的不可抵賴性。對支付平臺來說，盡管從技術和法律的角度都可以免責，但消費者終究會用腳來投票，棄用該手機品牌的同時，也棄用該支付平臺。“你作孽我一起背黑鍋”，商譽受損如何能容忍?所以BAT歧視國產(chǎn)Android手機的現(xiàn)實，必須發(fā)人深省。

　　Copy to China終究是下策，就算“拿來”也應該拿先進而非落后。不調(diào)查研究卻人云亦云自愿上當，看不懂風險就編造說法忽視風險，正是中國產(chǎn)業(yè)升級道路之殤。只有根除懶惰和自卑，尊崇理性基于邏輯進行分析判斷，才能斷絕愚昧。幸而舊路的終點往往正是新途的起點，普遍匱乏中孕育著機遇，只有慧眼獨到者才能把握機遇，自創(chuàng)風口，迎難而上。