现在手机扫描支付,相信基本上每个人都用过吧。如果你的手机支持指纹
话,应该也会设置按指纹代替密码支付。那么你了解这个过程吗?这个过程安全吗?
操作过程:
当你的手机在扫码后,或者被扫后,这个时候,系统弹出一个指纹确认框,需要
你伸出一个手指来验证;记住这个手指你在开通指纹支付时的那个,否则是无效的。看
起来你的指纹验证通过了,就支付成功通过;但这个验证通过不是由本地验证通过而通过
的,通俗的说就是本地的指纹通过后,需要将相关的指纹信息上传到IFFA服务器,注意
这个指纹信息,并不是指纹模板数据,而是一个16位的ID号,服务器在开通时保留了一份。
结合IFAA2.0的规范文档,目前来看还是存在一定的问题,主要原因是TEE OS的问题,
虽然IFFA对外宣传是银行安全级别,实际上不然;主要的症结在于TEE OS,无法解析
证书,导致大部分手机实际上使用的是RSA的公私秘钥,签名验证等方法。由于缺少
权威的认证机构,同时无法实现证书的周期性更新,有效期限等,无法对公私钥进行定
期更新,因为这个过程是在生成过程一次性有效。所以2年后,你最好还是换个手机....
struct {
/** 山寨证书
* +-----------------------+
* | n_len | n | e_len | e |
* +-----------------------+
*/
struct {
vlb_t n;
vlb_t e;
} pub_key;
vlb_t sig;
} ifaa_cert;