转眼间，又到了岁末，2019年已经到来。 回顾2018年，安全无疑是金融支付行业的高频词。 这一年发生了太多事情。 在本次年度回顾中，移动支付网将回顾2018年金融支付安全领域的重大事件。

1、手机指纹解锁漏洞被爆

2018年1月，工信部、公安部、人民银行、网信办等部门接到举报称手机指纹解锁存在巨大漏洞。 使用透明胶带+导电笔可以破解指纹解锁并用于支付。 任何人都可以利用这个漏洞。 解锁你的手机，即使使用橙皮也能做到。

指纹识别由于其便捷性和安全性，经过几年的发展，在国内已经全面普及。 尽管专家明确表示破解指纹解锁需要特殊处理，但仍然造成了很大的影响。 工业和信息化部、质检总局等相关部门也介入调查。

2、支付宝、微信出现克隆漏洞

2018年初，支付宝和微信被发现存在克隆漏洞。 攻击者可以使用链接或消息克隆应用程序，获取所有用户信息，并用其进行支付。

数据显示，支付宝在全球市场拥有超过8亿活跃用户，微信在全球市场拥有10亿活跃用户。 在中国，支付宝和微信是移动支付的两大巨头。 此次克隆事件几乎涉及所有安卓手机，影响范围和潜在危险前所未有。

3.短信嗅探窃取验证码

2018年8月，豆瓣网友“刁寒江雪”发表文章《现在我一无所有》，讲述了自己的支付宝、京东及相关银行卡被盗的全过程。 随后，多家媒体对此类盗窃事件进行了报道。 技术：“短信嗅探+中间人攻击”，解释道。

短信嗅探技术是在不影响用户正常接收短信的情况下，通过在手机中植入木马或设置伪基站的方式获取用户短信内容。 主要目标是来自银行、第三方支付平台和移动运营商的短信。 验证码。

在支付场景中，身份认证一般只包括姓名、身份证号、银行卡号、手机号、验证码，而这些关键信息都可以通过短信嗅探技术窃取。

此次事件的发生不仅暴露了2G网络的风险，也暴露了传统身份认证方式的缺陷。 专家指出，包括银行和第三方支付平台在内的金融机构应推出更加完善、可靠的验证手段。

4、首个人脸识别安全标准正式发布

2018年9月，泰尔终端实验室起草的《基于TEE的移动终端人脸识别安全评估方法》在电信终端行业协会（TAF）正式发布。 作为国内首个人脸识别安全标准，该标准涵盖了人脸采集、存储、比对过程中的安全环境要求和比对指标。

人脸识别无疑是2018年最热门的生物识别技术，而TEE技术则是现在移动终端安全的最佳选择。 随着人脸识别技术的不断普及，如何保证移动端人脸识别的数据安全成为一个问题。

基于TEE的人脸识别安全标准的提出虽然只是行业标准，但为人脸识别技术的发展和普及提供了安全保障，解决了人脸识别技术安全性无法保障的问题。

5、央行发146号文开展支付安全风险排查

2018年9月，中国人民银行办公厅发布《关于开展支付安全风险专项排查的通知》（银办发[2018]146号）。 通知称，为进一步加强支付领域网络与信息安全管理，有效防范支付行为，切实保护消费者合法权益，中国人民银行决定开展支付安全风险专项排查。

此次146号文提出的调查内容增加了客户端应用软件的安全要求。 众所周知，移动支付的快速发展也伴随着诸多安全隐患。 客户端应用软件作为从业者连接用户最直接的工具，也是安全问题最常发生的地方。

央行加大对客户端应用软件的监管力度，表明央行对支付安全的高度重视。 可以预见，未来支付安全的监管将会越来越严格，数据安全和交易安全也将成为未来从业者关注的焦点。 。

6.身份被盗导致支付宝被骗

2018年10月上旬，全国多地苹果用户支付宝账户被盗。 损失从几百元到数万元不等。 事后经调查，原因是部分苹果用户的ID被盗。 如果被盗账户被开设，则免费。 秘密支付将被犯罪分子用来造成经济损失。

ID是为其产品推出的身份验证系统。 通过ID，用户可以在任何设备上进行所有相关操作，由此可见ID的重要性。 今年2月28日起，中国大陆的苹果云服务由云上贵州公司运营。 此次账户被盗事件也疑似是内部人员所为。

在此之前，苹果账户并未被盗。 上一次发生重大安全问题是在2013年，有人发现只要掌握了用户的ID电子邮件地址和生日信息，就可以更改ID和密码。

7、聚合支付安全标准即将发布

2018年10月，全国金融标准化技术委员会发布138号文件，即《关于审查《聚合支付安全技术规范》（送审稿）的通知。 通知称，该标准已形成送审稿，并已进入委员电子投票阶段。 阶段。

聚合支付是第三方支付平台服务的延伸，是第三方支付平台与商户之间的支付。 通过聚合各个第三方平台的支付方式，通过统一的软件系统（SDK、API接口）或硬件平台（POS）来承载。

聚合支付一直存在各种问题，包括疑似缺乏支付牌照、场外虚拟交易套现、涉嫌通过传销发展会员、层层刷卡牟利等。之后，央行发布217号文，开始对无证支付业务进行整治。 聚合支付行业开始动摇、变革。 这一聚合支付安全标准的制定和推出，将加剧行业优胜劣汰，明确支付行业分工，让行业更加合规，为未来发展奠定良好基础。

8、央行出台金融行业声纹识别标准

2018年10月，中国人民银行正式发布《基于声纹识别的移动金融安全应用技术规范》。 本标准规定了移动金融服务场景中基于声纹识别的安全应用的功能要求、性能要求和安全要求，适用于基于声纹识别的移动金融服务的设计、开发、检测、应用和风险控制。

声纹识别技术具有易采集、非接触、可靠性高的特点。 由于声音信号包含语言信息、副语言信息和非语言信息，这种“形式简单、意义丰富”的特点也有利于识别用户的真实意图和行为。 可追溯性。

该规范是央行颁布的我国金融业首个生物识别技术标准。 它将安全和个人隐私保护放在了突出的位置。 该标准的推出，意味着以声纹识别为代表的生物识别技术进入了新的历史。 开发阶段也为后续更广阔的市场应用拉开了帷幕。

9. PCI DSS指数6年来首次下降

2018年11月，安全顾问支付安全报告指出，支付卡安全PCI DSS指数六年来首次下降，2017年达到52.5%，同比下降2.9个百分点。

PCI DSS对涉及信用卡信息的所有机构的安全提出了标准要求，包括安全管理清单、政策、流程、网络架构、软件设计要求等，全面保障交易安全，适用于所有参与方在支付卡处理中。 实体，包括商家、处理商、购买者、发行者和服务提供商以及存储、处理或传输持卡人信息的所有其他实体。

数据下降反映了全球许多企业未能通过安全标准测试或没有完全遵守安全标准的事实。 值得注意的是，亚太地区企业合规数字达77.8%，远超欧洲（46.4%）和美国（39.7%）水平，反映出该地区多国监管机构日趋严格，例如中国、印度和新加坡。 安全意识显着提高。

十、银行卡非接触式诈骗频发

2018年7月，一段测试人员使用POS机从背后接近路人，在路人不知情的情况下利用非接触式支付完成诈骗的视频在网络疯传。 该事件发生在爱尔兰，视频引起当地公众关注。 关于非接触式支付的安全性问题。

12月，广州发生多起银行卡被盗案件。 战术与爱尔兰视频中的相同。 犯罪分子利用银行卡免密码、免签证的功能，利用POS机，在无接触的情况下完成盗窃。

这两起事件都引发了人们对非接触式支付安全性的质疑，认为免密码、免签证功能不够安全。 对此，银联方面表示，目前所有支持小额免密码免签证支付的商户均经过严格筛选，在全国乃至全国范围内具有较高知名度。 品牌或连锁商家。 免密码免签证服务的交易限额统一为单笔1000元人民币。 如果超过此限制，则需要输入密码。 银行还控制单日累计无密码限额。 同时，银联与发卡银行对小额免密码免签证交易进行后台风险监控，通过监控交易特征、识别可疑交易等防控措施，确保持卡人资金安全。 。

银联与商业银行合作，提供卡丢失保障“全风险赔偿”服务，可充分赔偿持卡人正常用卡造成的损失。 事实上，根据记者测试，要想进行欺诈交易，POS机必须靠近身体，而且不能同时使用银行卡。

结论

安全是2018年金融支付领域的关键词，包括终端安全、应用安全、数据安全等，涉及TEE、生物识别、短信嗅探等多种技术，包括217号文和146号文，包括支付安全规范在内的各种文档和标准的聚合，移动支付网络仅包含其中的一些。 由于视角和能力有限，文章中肯定存在不足之处。 欢迎各位朋友批评、指正、交流、讨论。

安全永无止境，移动支付网期待2019年继续与您一起前行。