https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

行動支付產業鏈 安全環環相扣

2013 / 04 / 09
張維君
行動支付產業鏈 安全環環相扣

行動支付不是新名詞,而是近年來正快速成長的消費性行動應用服務。去(2012)年研究調查機構Gartner曾預估全球行動支付交易金額將超過1,715億美金,使用者將超過2.1億人。同時Gartner也認為行動支付所利用的存取技術仍以SMS簡訊及Web/WAP為大宗,NFC的交易要到2016年才會開始成長。至於在應用的領域,Gartner認為2015年將近1/3的消費品牌會將行動支付整合在其行動應用程式中,特別是在未來三年可以看到在流行、飲食、雜貨和娛樂產業等有零售據點的品牌中特別明顯。

為了因應此一趨勢,金融監督管理委員會也於今年1月公告手機信用卡安控基準,開放信用卡晶片個人化資料可透過空中傳輸(OTA, Over the air)方式傳送到消費者手機,以加速行動支付的發展,而發卡機構必須符合
安控基準所要求向金管會提出申請。據了解,目前許多銀行不管是檯面上或檯面下都正積極籌備中。

32家發卡機構vs 2大TSM vs 5家電信公司

行動支付過去在台灣討論已久,一方面由於各種NFC技術解決方案仍在發展,終端環境尚未普及,另方面則是電信營運商與銀行兩大陣營究竟由誰主導、產業尚未達成共識,以及法規限制等,使行動支付的推動進展緩慢。但這一切將隨著法規的鬆綁、技術的逐漸成熟而出現轉機。

前幾年已經陸續有銀行開始小規模試辦行動支付,當時金管會尚未開放空中傳輸,銀行採取預載(Pre-installed)方式,消費者通過申請後,銀行先將信用卡資料(持卡人、卡號、到期日等資料)寫在Micro SD卡上,接著將Micro SD卡以及PIN碼寄給消費者,消費者在網路上輸入PIN碼完成身分認證與開卡作業才可開始刷卡,從申辦到開通過程較冗長。而此次所開放的空中傳輸機制是指,消費者臨櫃或在網路上向銀行申請手機信用卡,選擇好應用程式與資料要儲存在何種安全元件(SE),如Micro SD卡、USIM卡或內建NFC晶片的智慧手機或背匣等,通過申請後取得PIN碼,接著前往該行下載行動支付App。開啟App時,系統即自動連到授信服務管理平台(TSM, Trusted Service Manager)的OTA系統做開卡,進行身分認證。通過認證,TSM再將該消費者的信用卡資料空中傳輸寫到消費者終端設備的安全元件當中。此後,消費者即可持這支手機到有感應式刷卡機的通路刷卡消費(如圖1)。
圖1 TSM示意圖
圖1 TSM示意圖
圖片來源:開南大學行動商務中心提供,2012/01

何謂安全元件?

安全元件(SE, Secure Element)是儲存應用程式與相關資料的安全模組,單一安全元件上可切割多個安全區域並支援多種應用程式。每個安全區域的控管者有金鑰控管,未經授權無法存取該區域。


在實體信用卡支付中,負責將消費者個人信用卡資料寫入晶片卡的是製卡公司,來到手機信用卡支付領域中,則是由TSM服務平台來扮演。萬事達卡國際組織台灣分公司業務拓展副總裁張育東指出,未來是32家發卡機構面對2家TSM,TSM再與其後5家電信業者合作。對TSM而言,重點在做金鑰管理即CA的角色,必須有應用程式供應商與電信業者兩邊的金鑰才能將個人化的資料寫到消費者的SIM卡(SE)上。另外則是做SE空間管理。


目前檯面上兩大TSM陣營,一是開南大學行動商務研發營運中心,另一則是五大電信業者加悠遊卡公司合資成立的新公司(簡稱五加一),即將在今年6月籌組完成。先前對發卡機構來說,在行動支付安全元件的提供上較傾向Micro SD卡,如此可以對所有不同電信門號的持卡人提供服務,銀行自主性較高。如果選擇SIM卡,會受限於客戶的門號,畢竟基於SIM卡製作的規模經濟,銀行不可能一一與五大電信業者合作,請電信公司製作該行專屬的信用卡SIM卡。但此一態勢在五加一成立之後有了改變。中華電信行動通信分公司加值處處長郭逸樵指出,未來五加一的TSM開始商轉後,發卡機構只要與五加一合作,就可不被電信公司限制,所有門號的卡友都可下載其信用卡App來刷卡消費,卡友連上系統,曾通過該張手機信用卡申請的才可點擊刷卡。但郭逸樵說明,五加一在成立並決定所使用的TSM平台後還要再經過測試,最快可能年底或第三季才會商轉。

而開南大學行動商務研發營運中心行銷業務處處長林明海指出,開南大學所使用的TSM授信服務管理系統在法國已有實際商轉經驗,也通過MasterCard, Visa兩大國際發卡組織的認證,待完成實地審查即可完全符合國際標準。中華電信自行開發的TSM則於2009年通過MasterCard認證,Visa認證正在申請中。

安控基準與信用卡組織規範

看好行動支付市場,國泰世華銀行率先在2012年1月推出背匣式「NFC手機悠遊聯名卡」供iPhone4/4S使用;同年6月推出Micro SD卡式的「行動悠遊聯名卡」,須搭配HTC為其專屬開發的 Incredible E手機使用,國泰世華個人金融事業處副總經理李素珠表示,接下來則會與電信業者合作推出SIM卡模式的手機信用卡,規畫三種模式以提供消費者完整服務。

根據金管會安控基準的要求,包括所採購的安全元件如SIM卡、Micro SD卡、內建NFC晶片的智慧手機等或委外合作的TSM平台都須符合信用卡組織規定或通過認證,並符合安全設計通則的要求,用以防範盜刷、偽卡並避免持卡人資料外洩。萬事達卡表示發卡機構須確認TSM經過MasterCard認證,並符合MasterCard所規定的相關安全原則,包括行動交易解決方案安全原則、行動交易個人化作業安全規範、行動交易下載及更新安全規範等。李素珠指出,國泰世華在安全機制的設計上,除了符合安控基準要求外,在軟體方面,也規畫在開啟行動支付功能前須先輸入密碼才可感應刷卡。

然而自去(2012)年開始,NFC技術成為資安研究人員關心的焦點。包括去年7月Charlie Miller在美國Black Hat大會上示範利用瀏覽器的弱點,感應海報上的NFC 標籤就可讓使用者被重新導引到惡意網站。同年9月英國MWR實驗室透過NFC傳送惡意檔案到Samsung Galaxy S3(Android 4.0.4),並利用Android document viewer的零時差漏洞來執行攻擊程式碼以獲取該手機的權限,接著手機上的所有資料及應用程式皆成功被存取。此攻擊碼繞過Android的ASLR、DEP保護機制,研究人員還安裝行動版的滲透測試軟體Metasploit於手機上,此後該手機上的資料都可遠端被傳送出去。

對此,專家認為目前所看到的攻擊都是針對App上,還沒看到針對手機信用卡安全元件上的破解。至於針對惡意標籤的攻擊,郭逸樵表示在中華電信的TSM平台上提供標籤認證的機制,包括「標籤內容資料簽章」、「明確的標籤外觀識別」等方式可做為第一線的防範。此外目前Global Platform組織也針對安全晶片上的應用制定許多規範與標準,包括使用者可以選擇:
- 需要在手機螢幕打開的情況下才能做交易
- 需要使用者手動開啟某張信用卡才能做交易
- 需要使用者手動開啟某張信用卡且輸入PIN碼才能做交易
- 預設某張常用且風險較小的卡片進行交易(如悠遊卡),但需要在使用者知覺的情況下進行(如開啟螢幕、在螢幕上滑動、按下音量鍵)
郭逸樵指出,上述功能是現有非接觸式卡片無法實現的,但經由NFC技術,可以提供更多不同的安全等級保護,使用者可以根據不同的風險承受度來衡量便利性。


安全需求高的程式 在TEE執行

目前大多數電信業者是採取手機作業系統搭配安全元件的方式來控管手機上應用程式的存取安全,而Global Platform在2011年2月提出可信賴執行環境(TEE, Trusted Execution Environment),TEE是在CPU端類似防火牆的效果,可讓行動支付或DRM等安全需求高的應用程式在安全模式中執行,與其他應用程式區隔開,彼此不能存取其他應用程式的資料(圖2)。TEE對抗攻擊的能力雖不若有專屬硬體的安全元件(SE)那麼強,但要破解TEE也並不容易。TEE裡面有扮演CPU防火牆的Trustzone,還有secure UI, secure dram controller, secure storage等,要逐一破解實務上非常困難。

圖2 TEE架構示意圖
圖2 TEE架構示意圖
圖片來源:Global Platform



既然如此,如果已採用TEE平台的NFC手機是否還需要安裝安全元件?目前ARM的處理器核心皆內建TEE平台,ARM移動通訊暨數位家庭行銷經理林修平表示沒有TEE,如果手機售出後使用者想要安裝新的應用程式,需要將SIM卡送回電信業者重新安裝寫入。如果有TEE,只要告知TSM,就可空中傳輸安裝新的App到使用者終端設備,較具彈性。

林修平進一步指出,在整個行動支付產業中,TSM是負責各個container( 指應用程式供應商)的金鑰管理與存取控制,App供應商要跟TSM買container或共用。對銀行等應用程式開發者來說,可藉由Global platform上各種資源來了解TEE,包括Trusted best system architecture有針對DRM或支付等不同應用,訂出需求規範,技術人員可了解相關的安全資料流,例如銀行的行動支付App icon放在Rich OS端,被觸發啟動後要求輸入帳密,就進到TEE來,接著再與銀行後端交易系統間做資料保護等。此外,應用程式開發者也需了解TEE Internal API,至於TEE Kernel (即Secure OS),則由TSM決定,或銀行給予建議。

最後,在行動支付這個領域,不管是相關技術、產業標準或認證都仍持續推進中。就安全上而言,雖然短期還不見嚴重的安全威脅,但看好行動支付的業者仍應多方研究相關技術,多一層安全就是讓消費者對新興支付工具多一層信賴。