关于支付宝和Apple Pay在线下支付时安全问题的对比分析

胡晓雪+任子夜+颜姚+刘鑫

摘 要：2016年2月18日Apple Pay在中国正式上线，其快捷时尚的支付形式引领了移动支付的又一潮流。Apple Pay与银联的联合对支付宝的线下支付造成了一定的冲击。本文从支付机制和使用风险方面将支付宝和Apple Pay的安全问题进行了对比分析，并提出了相应的风险控制方案。

关键词：支付宝；Apple Pay；扫码支付；标记化技术

中图分类号： F713.36；F831.2 文献标识码： A 文章编号： 1673-1069（2017）05-90-2

1 支付机制

1.1 支付宝

为了向用户提供更为安全、简单、快速的支付解决方案，支付宝官方推出了集手机支付和生活应用为一体的手机软件——支付宝钱包。支付宝钱包主要在IOS、Android设备上使用，可以让用户可以随时随地通过手机进行支付。

在线下支付方面，支付宝主要有三种形式：

①声波支付。声波支付通过声波的传输来完成支付设备和收款设备的近场识别，其具体使用原理是在支付宝手机软件内置有“声波支付”功能，用户购买售货机里的商品时，打开此功能，用手机麦克风对准收款方的麦克风，手机就会播放一段“咻咻咻”的声音，售货机听到这段声波之后就会自动处理接收到的信息，用户在手机上输入密码后售货机就会吐出商品。

②“扫一扫”。“扫一扫”即我们常用到的二维码支付。因为二维码用来储存信息的是水平和垂直方向的二维空间，所以能够记载更复杂的数据，比如网络链接、图片等。商家把商品交易信息汇编成一个二维码，并印刷在各种报纸、广告、图书等载体上就可以等待消费者扫描支付。消费者支付时，打开支付宝客户端上的“扫一扫”，里面内置了一个二维码解码器，可以对手机所扫描到的二维码进行解码，告知交易信息。消费者确认交易信息后，输入支付密码即可完成交易。

③条码支付。条码支付的核心是支付宝账户。消费者在选择条码支付结账时，只要出示支付宝手机软件上显示的与账户关联的动态随机条码，商户可使用红外线条码扫描枪进行扫描，待消费者查看和确认付款信息后即可快速完成交易。其技术原理和二维码类似。

1.2 Apple Pay

苹果公司于2014年推出了Apple Pay这一项手机支付功能。用户使用Apple Pay时需要先在苹果手机（iphone6/iphone6s）系统自带的？Wallet程序里添加银行卡并成功激活。使用Apple Pay付款时只要将iPhone手机靠近有银联闪付标志的POS机，并将手指放在HOME键上验证指纹，即可进行支付。一般来说，整个支付过程只需一两秒钟。

从技术原理看，Apple Pay的线下支付实际上就是NFC支付技术与iphone手机的结合。NFC支付技术允许电子设备之间进行非接触式的数据传输。消费者在使用Apple Pay时，NFC发起设备（嵌入NFC芯片的iPhone手机）会用相同的连接和初始化过程检测到商户的NFC目标设备（POS机），并与之建立联系。NFC发起设备将已经经过消费者本人同意的预先存储在手机里的银行卡信息发送到目标设备，此时POS机就可以读取信息，扣除银行卡里的相应金额，并以相同的速度将信息回馈到消费者的iPhone手机上，至此，消费者的支付完成。

2 使用风险

2.1 支付宝

消费者在使用声波支付时，设备主要依靠播放的声波来识别进而完成交易，并且对于每笔交易都会生成特定的声波，所以不用担心出现播放的声波被录音从而支付宝余额被盗用的情况。

生活中，“扫一扫”颇为流行，但很少有人知道，商家提供二维码，顾客使用手机扫码支付这样一种支付方式，在2014年3月份的时候因为安全问题被央行下发紧急文件叫停过，直到2014年11月才解禁。①技术层面不是很成熟，有相对较多的安全漏洞和潜在风险；②携带病毒，目前还没有针对二维码安全性的技术检测，许多病毒还是可以附着在商家所提供的这张二维码上。这两方面直接关系到客户的信息安全与资金安全。

使用条码支付进行收款的商家同样存在安全风险。因为商户需要用特定的设备扫描消费者支付宝钱包上生成的条码，但目前没有技术手段可以保证消费者支付宝钱包上条码的安全性。对于更为普遍的提供二维码供消费者扫描收款的商家而言，就曾出现过二维码遭替换，从而造成财产损失的情况。

由于支付宝线下支付需要以手机终端为中介，那如果手机丢失了，消费者的账户安全能得到保障吗？以安卓手机为例，第一防线——手机解锁密码是极易被突破的；这一防线之后被突破后，如果用户设置了支付宝钱包可以记住密码直接登录，那么盗取者可以轻易点开支付宝钱包进行使用。即便是需要登录密码，盗取者也可以通过简单的点击忘记密码-输入手机号码-获取验证短信-修改密码程序来获取新密码进行登录使用，第二道防线即被突破；由于目前支付宝支持小额（小于200元）支付免输密码功能，那么盗取者即可轻易盗刷支付宝余额，如需输入密码进行支付密码，盗取者也可以点击重置密码进行修改，支付的最后一道防线即被突破。由此可以看出支付宝目前的账户安全认证十分薄弱，如果消费者在手机丢失后不能及时将手机卡挂失，绑定银行卡冻结，支付宝账户将面临极高的盗取风险。

2.2 Apple Pay

消费者使用Apple Pay进行支付时，需要先通过指纹或者Touch ID进行身份验证，然后NFC控制器才会启动安全芯片通道，向商户传递有关交易信息。Apple Pay在这样一个闭环的、非接触式的支付过程中可以使银行卡密码等安全系数要求较高的相关数据不需要通过无线网络就可以进行传输，避免了像支付宝支付那样需要依托開放式网络才能支付所带来的安全隐患，降低了病毒入侵的概率。

在信息保密性方面， Apple Pay采用的是较为先进的Tokenization（标记化技术）。在 Apple Pay 的支付流程中，用户的Iphone手机实际储存并不是用户银行卡相关的支付信息，而是苹果公司称之为DAN（设备账号 / Device Account Number）的支付标记。用户在设备上绑定银行卡时，相关银行在验证身份信息之后会向手机下发DAN支付标记。DAN 存放于手机上的安全芯片内，仅本机可读，苹果公司不会将用户的DAN上传至服务器，甚至苹果公司在云端都无法访问到DAN，有效保护了用户支付信息的安全。

应对手机丢失的情况，用户可以首先用Touch ID进行保护，在远程通过“查找我的iPhone”应用，或iCloud.com网页将设备设为“丢失模式”，Apple Pay便会停止工作。因为苹果手机为了保护设备账户安全，有如果手机用户注销Touch ID账户或者擦除设备上的内容，那么会自动删除绑定在这台设备中所有卡片技术支持。所以如果用户支持Apple Pay的手机遭到盗取，盗取者难以通过获取用户的指纹或者Touch ID的密码进行支付，在用户远程挂失设备之后，设备中绑定的银行卡会自动删除，这样即使手机被破解，支付账户也无法使用。

总的来说Apple Pay的安全程度基本等同于现有的基于芯片卡的支付，用户所面临的支付安全风险比较低。

3 相关控制

3.1 消费者个人层面

基于以上分析我们可以知道在使用支付宝进行线下支付时，声波支付的安全性高于条码支付，但在我们日常生活中，出于便捷性和成本的考虑，还是使用各种条码支付的情况更多。在这样的情况下，消费者所要面临的安全风险还是比较高的。

在必须进行条码支付时，消费者在扫描前先判断二维码发布来源是否可靠，扫描时应该选用专业的加入检测功能的扫码工具，扫到可疑网址时，会有安全提醒。如果需要扫描二维码来安装软件，在安装好之后要用杀毒软件先扫描一遍。注意密码保护，关闭小额支付免密码功能，在支付时选择使用支付宝余额进行支付，同时避免留过多的钱在支付宝账户内。提供二维码收款的商家要固定二维码，不定时核对收款账户以防止二维码被替换。

用户如果选择使用Apple Pay进行支付，总体安全风险较低。因为与用户设备绑定的Touch ID是重要保障，所以用户在设定Touch ID密码时要保证足够的复杂度，绑定Touch ID的邮箱尽量不要在设备上设定记住密码自动登录，以防止盗用者循着原有登录轨迹修改密码。在设备丢失后要及时抹失手机数据，保护账户安全。

3.2 技术层面

技术人员应当对二维码的安全性进行更严格的检测，防止恶意病毒的附着。在安全认证方面，应该加大技术方面的投入，改变现有的直接将验证码发送至用户手机的模式，可以将安全认证与用户邮箱相连，将验证码下发至用户邮箱，多一层保障防止密码被随意篡改。

因为QQ邮箱使用的普遍性，大多数用户习惯将设备的Touch ID绑定到QQ邮箱上，苹果公司也应当加强对Touch ID的管理，防止再出现由于QQ邮箱遭黑客入侵，从而用户的Touch ID遭篡改的事故。

3.3 法律监管层面

即使现在有《支付清算组织管理办法》、《电子签名法》、《电子支付指引（第一号）》等法律的存在，但支付宝线下的支付并没有明确的监管机构，也没有对应的法律法规，其法律效应处于一种模糊状态，这使得支付宝支付下缺少后天的法律保护，暴露在风险之下。有关部门应当要加强法律监管，对买卖双方在交易过程中各自应承担的法律责任等法律问题进行明确的立法并加以规范。

虽然Apple Pay2016年2月才进入中国市场，但有关法律监管部门应当尽快将其纳入法律法规的监管之中， 因为这种游离于法律监管之外状态的持续必然会危及这类移动支付的稳定发展，也无法对商家、用户等使用者给予足够的法律救济措施。

4 结语

无论是作为移动支付龙头的支付宝还是作为后起之秀的Apple Pay，其存在的目的都是为了最大程度简化支付，便利消费者的生活，但我们在享受便利的同时同样不能忽视对支付安全问题的关注。为了实现安全与便捷的共存，支付宝也好，Apple Pay也好，都还有诸多方面可以加以完善。

参 考 文 献

[1] 叢研敏移动金融支付革命[M].第1版.北京：清华大学出版社，2016.

[2] 潘晨.Apple Pay用户移动支付法律风险[J].法制与社会，2016（13）.

[3] 吴智宇.深度解析Apple Pay的安全键： Tokenization[J].技术推介，2015（11）.

[4] 李晓枫，汪东艳.Apple Pay安全机制分析——兼论对我国移动支付产业发展的政策启迪[J].金融电子化，2014（12）.