ApplePay疑点解答:指纹锁真能随便破解?

　　【YUHOU.CN杂谈】上周笔者写过一篇关于ApplePay的文章。由于篇幅所限，许多地方言不达意让网友产生了误解，所以就将有些争议的问题拎了出来，希望能够解释大家的疑惑。当然，毕竟不是银行业人士，谬误之处还望不吝指点。

　　一：支付宝与银联刷卡谁用得更多？

　　►用户评论：

　　「不管支付宝的水军怎么吹，你去超市便利店专卖店餐厅看看，是用银联刷POS的人多还是用支付宝刷条码的人多...」

　　►编辑观点：

　　据易观智库发布的《中国移动支付市场2015年度综合报告》显示。在综合支付市场，银联仅以35.87%的份额小胜支付宝的33.18%；而在移动支付市场，支付宝是以71.51%的份额碾压银联的0.49%，相差悬殊。

　　由于综合支付市场囊括了线上线下两块，银联的主要份额在线下POS机刷卡，支付宝则主要是线上网购，两者优势算是互相抵消。但是移动支付市场特指的是「使用手机进行的支付业务」，所以银联的份额才会这个样子。

　　虽然我们没法直接对比银联刷卡与支付宝线下支付的份额，但也能根据前一则数据粗略判断前者大于后者（毕竟支付宝的主要业务还是线上）。但这只是暂时的，移动支付市场的发展极其迅猛，假若银联不抓住ApplePay/SamsungPay等新兴支付手段的机遇，那上述排名倒转过来也是很快的事情。

　　银联总裁时文朝也曾在公司内部发出的新年贺词中坦陈：

　　坦率地说，线上市场我们已经掉队，线下市场我们也无险可守，经营模式面临着颠覆性改变风险。

　　另据财新周刊数据显示，目前全国接受NFC改造的POS机为600万台，约占存量的60%。而按照人民银行的部署，到2017年五月底，中国所有POS机都将支持NFC技术，所以现阶段引进ApplePay/Samsung等新兴支付手段对于银联来说，有着非常重要的战略意义。

　　二：将银行账户交给外国公司安全吗？

　　►用户评论

　　「谈到安全你愿意把你的密码账户交给一个外国公司吗？」。

　　►编辑观点

　　ApplePay是苹果产品，而苹果又是一家美国公司，如果从阴谋论的角度看，ApplePay确实有很大的遐想空间。但作为一个理性的读者，应该不难想到这种服务绝对会经过政府审查，查无问题才允许发行。况且苹果中国用户的数据是储存在中国电信服务器当中，数据保存也相对安全。

　　即便苹果真的有能力绕过中国政府审查，苹果或许也不会这么做。此前美国总统奥巴马就曾借着“预防恐怖袭击”之名要求苹果开放“后门”，然而蒂姆·库克坚决不同意，他说：

　　“毫无疑问，国家安全当然很重要。但现实情况是，如果你在软件中为好人放置了一个开放的后门，那坏人也能从中进入。”

　　在公开场合，蒂姆·库克也不止一次提到这个观点，所以我们不太能够相信苹果会甘冒风险作出盗窃用户数据的事情，这并不符合苹果的价值观，也不符合苹果的商业利益。

　　其次ApplePay在技术上，也是个“相互匿名”的系统。最开始在iPhoneSE芯片内的银行卡信息，是以被卡组织加密过的Token形式存在，而且SE芯片本质上也是个本地芯片，不会上传到苹果服务器。即便苹果有后门可以窃取Token，加密过的Token对苹果也只是一串随机数字，没有任何意义。

　　其次在交易流程中，在流转过程中银行卡信息也是以Token形式存在，仅有所属银行能够通过卡组织的Token服务还原出银行卡信息，所以在流程中苹果也是不可能知道你的银行卡信息的。

　　三：破解iPhone的指纹锁到底难不难？

　　►用户评论

　　「好奇一个问题，以指纹为唯一鉴权方式的话，如果真有犯罪组织，那么扫描home键上的残留指纹应该不难实现吧。换言之，他们可能会高价收购最新被偷的iphone,制作指模盗取你账号里面的钱。国外银行很容易在卡（手机）被盗以后通知止付不需要太担心，国内银行的作派，我看applepay谈不上安全。」

　　►编辑观点

　　在TouchID指纹锁推出后，确实有黑客试图破解并且成功了，但这并不代表普通人破解TouchID也那么容易。如果仔细观察，你会发现破解需要用到图像扫描仪、激光打印机、蚀刻印刷电路板、高分辨率相机等多种工具，还需要拿到“清晰完整”的指纹（一般使用TouchID时是不可能留下完整指纹的）。

　　黑客Starbug破解TouchID全过程

　　供职于移动安全公司Lookout的马克·罗杰斯(MarcRogers)模仿黑客Starbug破解TouchID之后，写了一篇名为“为什么我破解了苹果的TouchID，但还是觉得它很棒（WhyIHackedApple’sTouchID,AndStillThinkItIsAwesome)”的文章。

　　他在文中描述说：“实际上，这种攻击仍有点像是约翰·勒卡雷(JohnleCarré)小说里的情节，绝对不是普通街头混混所能办到的，而且窃贼也需要很好的运气，因为只有五次尝试机会，之后TouchID就不再接受任何指纹，要再输入PIN码才能解锁。”

　　纽约时报也持同样态度：“如果一个人有这样充足的时间与资源来监视并收集你的数据，那伪造指纹可不会是他的第一选择，直接拿把刀威胁你倒是更省时间精力的做法。”

　　TouchID就像门锁一样，我们当然不会因为门锁能被锁匠破坏就不去用它。当然如果你担心指纹被盗的话，同样也可以使用数字密码，但这样你就得防范最古老的物理（偷瞄）盗窃了。

　　四：ApplePay与支付宝是否都需要网络支持？

　　►用户评论

　　「一个联网就能支付，一个要有POS机才能支付，你说哪个方便。」

　　►编辑观点

　　前文中，笔者在“可用范围”处漏掉了网络因素，实际上ApplePay与支付宝/微信都是可以不联网完成支付的。

　　ApplePay能离线支付很好理解，因为ApplePay就“相当于”一张银行卡。

　　实体银行卡是通过刷卡（磁条或芯片作为媒介）将付款信息传输到银联网络完成付款；而ApplePay是通过近距离接触（NFC信息作为媒介）将付款信息传输到银联网络完成付款，两者扣款阶段流程相同，只是发起支付的方式不同，所以均对网络环境没有要求。

　　支付宝与微信虽然支持离线支付功能，但支付形态上的差异，还是有一定限制。你可以尝试先开启手机的飞行模式，再打开支付宝或微信的付款码，你会发现这两者在离线状态下依然会「动态更新」，即“发起付款”并不依赖网络环境，这与ApplePay类似。

　　但问题在于支付宝与微信都存在“免密”与“验密”两种模式。当一些条件（支付金额过大，交易次数过多等）被触发时，支付宝或微信就要重新通过网络渠道进行一次密码鉴权，这样的模式就需要手机网络保持畅通。相比之下，ApplePay在离线（用户端）时的可用性更高。

　　结语

　　ApplePay距离我们已经不远，而其技术的先进性也是毋庸置疑。和支付宝/微信相比，苹果倒是更有理由保护使用者的隐私，而且它们也在技术上做到了这点。假如你也是iPhone用户，真的不妨试用一下ApplePay，相信它应该会给你带来不错的支付体验。