转眼又是一年终，2019年已经来临。回首2018年，安全毫无疑问的是金融支付行业高频词汇，这一年发生了太多的事情。本期年度盘点移动支付网将回顾2018年金融支付安全领域的大事件。

1.手机指纹解锁被爆漏洞

2018年1月，国家工信部、公安部、中国人民银行、网信办接到举报，手机指纹解锁存在巨大漏洞，用透明胶带+导电笔可以破解指纹解锁并用于支付，利用该漏洞任何人都可以解开手机，甚至使用橘子皮都可以解开手机。

指纹识别由于其便利性和安全性，经过几年的发展，在中国已经全面普及，虽然专家清楚的说明破解指纹解锁需要特殊处理，但是依旧造成了极大地影响，工信部、质检总局等相关部门也介入调查。

2.支付宝、微信出现克隆漏洞

2018年年初，支付宝、微信相继被爆出存在克隆漏洞，攻击者可以使用一条链接或者消息对应用程序进行克隆，可以获得用户所有信息，并且可以用于支付。

有数据显示，支付宝用户全球市场活跃用户超8亿，微信全球市场活跃用户10亿，在中国，支付宝和微信更是移动支付两大巨头。此次克隆事件涉及几乎所有安卓手机，影响范围之广、潜在危险之大前所未有。

3.短信嗅探盗取验证码

2018年8月，豆瓣网友“独钓寒江雪”发表文章《这下一无所有了》，讲述了自己的支付宝、京东及关联银行卡被盗刷的全过程，随后诸多媒体对这种盗刷的手法：“短信嗅探+中间人攻击”，进行了解读。

短信嗅探技术是在不影响用户正常接收短信的情况下，通过植入手机木马或者设立伪基站的方式，获取用户的短信内容，主要目标是来自银行、第三方支付平台和移动运营商的短信验证码。

在支付场景下，身份认证一般只含有姓名、身份证号、银行卡号、手机号、验证码中的几种，而这些关键信息通过短信嗅探技术都可以盗取。

这次事件的发生不仅仅暴露出2G网络的风险，也暴露出传统身份认证方式短板，专家指出包括银行和第三方支付平台在内的金融机构应推出更为完善可靠的校验手段。

4.首个人脸识别安全标准正式发布

2018年9月，泰尔终端实验室牵头起草的《移动终端基于TEE的人脸识别安全评估方法》在电信终端产业协会（简称TAF）正式发布。该标准作为国内首个人脸识别安全标准，其内容覆盖了人脸采集、存储、比对等过程中的安全环境要求及比对指标。

人脸识别无疑是2018年最火热的生物识别技术，而TEE技术则是现在移动端安全最好的选择，随着人脸识别技术的不断普及，如何保证移动端人脸识别的数据安全成为了一个问题。

基于TEE的人脸识别安全标准的提出虽然只是一个行业标准，但是对人脸识别技术的发展、普及提供了安全保障，解决了人脸识别技术安全无法保证的难题。

5.央行发布146号文，排查支付安全风险

2018年9月，中国人民银行办公厅发布《关于开展支付安全风险专项排查工作的通知》（银办发〔2018〕146号），通知称为进一步加强支付领域网络与信息安全管理，有效防范支付风险，切实保障消费者合法权益，人民银行决定开展支付安全风险专项排查工作。

此次146号文中提出的排查内容中增加了对客户端应用软件的安全要求。众所周知，移动支付高速发展的同时也伴随着诸多的安全隐患，而客户端应用软件作为从业机构连接用户最直接的工具，也是出现安全问题频次最高的地方。

此次央行增加对客户端应用软件的监管表明了央行对于支付安全的重视，可以预见未来关于支付安全的监管将会越来越严格，数据安全与交易安全也将成为从业机构今后重点加强的方向。

6.Apple ID被盗致使支付宝被盗刷

2018年10初，全国多地发生苹果用户支付宝账户被盗刷的事件，损失从几百元到上万元不等，后经调查是因为部分苹果用户Apple ID被盗，被盗账户如果开通了免密支付就会被不法分子利用造成财务损失。

Apple ID是苹果公司为其产品所引入的认证系统，通过Apple ID用户可以在任意一个设备上执行与Apple有关的所有操作，由此可见Apple ID的重要性。从今年2月28日起，中国大陆的苹果云服务交由云上贵州公司负责运营，本次账户被盗也被怀疑是内鬼所为。

在此之前，苹果账户并未出现过被盗情况，上次出现重大安全问题是在2013年，有人发现只要拥有了用户的Apple ID邮箱以及生日信息，便可以更改Apple ID以及iCloud的密码。

7.聚合支付安全标准即将发布

2018年10月，全国金融标准化技术委员会发布138号文，即“关于审查《聚合支付安全技术规范》（送审稿）的通知”，通知表明该标准已形成送审稿，进入委员单位电子投票阶段。

聚合支付作为对第三方支付平台服务的拓展，介于第三方支付平台和商户之间，通过聚合各种第三方平台的支付方式，通过统一的软件系统（SDK、API接口）或者硬件平台（POS）来承载。

聚合支付一直存在种种问题，涉嫌存在无支付牌照和异地虚拟交易套现，涉嫌以传销的方式发展会员，通过刷卡层层获利等等。今年上半年央行发布了217号文，开始了无证经营支付业务的整治工作，聚合支付行业开始了震荡、变革。本次聚合支付安全标准的制定和推出将加剧产业优胜劣汰，对支付行业的分工更加清晰，使产业趋于合规，为未来的发展打下了良好基础。

8.央行颁布金融行业声纹识别标准

2018年10月，《移动金融基于声纹识别的安全应用技术规范》由中国人民银行正式发布。该标准规定了移动金融服务场景中基于声纹识别的安全应用的功能要求、性能要求和安全要求等内容，适用于移动金融服务基于声纹识别的设计、开发、检测、应用及风控。

声纹识别技术具有易采集、非接触、可靠性高等特点，由于声音信号中含有语言信息、副语言信息和非语言信息，这种“形简意丰”的特点还有利于识别用户真实意图，具有行为可追溯性。

该规范是央行颁布的我国金融行业第一个生物识别技术标准，将安全性和个人隐私保护摆到了突出位置，该标准的推出意味着以声纹识别为代表的生物识别技术进入了新的历史发展阶段，也为后续更加广阔的市场应用拉开了大幕。

9.PCI DSS指数6年来首跌

2018年11月，安全顾问Verizon支付安全报告指出，支付卡安全PCI DSS指数6年来首次下跌，2017年为52.5%，按年下跌2.9个百分点。

PCI DSS对于所有涉及信用卡信息机构的安全方面都作出标准的要求，其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等，全面保障交易安全，适用于所有涉及支付卡处理的实体，包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体。

数据下跌，反映全球多间公司未能通过安全标准检测，或未有完全遵守安全标准规定。值得留意的是亚太区企业合规数字达77.8%，远超欧洲(46.4%)及美国(39.7%)的水平，反映区内多个国家，如中国、印度及新加坡等监管机构愈趋严谨，令安全意识大幅提高。

10.银行卡非接盗刷频发

2018年7月，一段测试者使用POS机从背后接近路人，在路人毫无察觉的情况下利用非接支付完成盗刷的视频刷爆了网络，事情发生在爱尔兰，该视频引起了当地民众对非接支付安全的质疑。

12月，广州发生多起银行卡盗刷案件，手法与爱尔兰视频一样，犯罪分子利用银行卡免密免签功能，使用POS机在不发生接触的情况下完成盗刷。

两件事情都引发了民众对非接支付安全的质疑，认为免密免签功能不够安全，对此银联表示，目前所有支持小额免密免签的商户均经过严格筛选，为全国及各地知名品牌或连锁商户。免密免签服务交易限额统一设定为单笔1000元人民币，超过该额度则需输入密码，银行对于单日累计免密限额也进行了控制。同时，银联及发卡银行对小额免密免签交易进行后台风险监测，通过监测交易特征、识别可疑交易等防控手段，保障持卡人的资金安全。

银联联合各商业银行提供失卡保障“风险全赔付”服务，对于持卡人的正常用卡损失是完全可以足额补偿。事实上根据记者测试，要想实施盗刷，POS机必须贴身，且银行卡不能多卡共放。

结语

安全是2018年金融支付领域的关键词，包含了终端安全、应用安全、数据安全等等，涉及到TEE、生物识别、短信嗅探在内的多种技术，发布包括217号文、146号文、聚合支付安全规范在内的种种文件、标准，移动支付网只收录了其中的部分，由于视角和能力有限，文中一定有不足之处，欢迎朋友们批评指正、交流探讨。

安全是永无止境的，移动支付网期望与您在2019年继续共同前行。

支付安全交流群，请添加群主微信：18038063793备注公司+姓名+职务+安全入群。

2018年度第五届“金松奖”最佳移动金融安全产品奖申报中......

申报链接：http://jsj.mpaypass.com.cn/2018/aboutvotes.asp