剖析微信指纹支付:扯皮三年多,华为腾讯谁该背这口锅?

说起安卓手机的指纹识别,估计在不少人的记忆中是早就有了,即便是主流的电容式指纹识别也没有比苹果iPhone晚多少,甚至基本是同步推出,比如评价君就拥有一部安卓4.4并且支持指纹识别的OPPO N3。但是对不起,这只是国产手机厂商自作主张的结果,实际上安卓一直发展到2015年中发布的6.0版才原生支持指纹识别,等到用户逐步用上已经是2016年底甚至2017年了。

但即便是在安卓6.0上,原生指纹识别也相当简陋。这个功能甚至简陋到有严重的安全隐患——比如无法识别手机是否被root或者被修改或者黑客入侵,指纹验证全程也没有保护措施,甚至软件向TEE写入用于验证的私钥都有可能被黑客拦截并且替换,根本没有能力保障支付安全。

说到安全,此前版本安卓其实也大同小异,还记得安卓手机忘了锁屏密码该怎么办么?只要用软件连接电脑,就能轻松的自动线刷root并解除加密,至今还有人相信能这样破解锁屏密码,就是早期版本的锅。总之安卓6.0才提供了指纹识别但不安全,等安卓彻底看起来已经比较安全了,还是版本升级到7.0之后的事情,对大部分手机来说也就是去年和今年了。

微信开始支持指纹支付的6.2版,发布时间与谷歌发布安卓6.0的时间基本相同,是在2015年。但当时国内几乎没有安卓6.0手机,即便是有,安全性也不过是毛毛雨。所以安全问题就由应用开发者想办法自行解决,也就遇到了华为所说的微信指纹数据会上传到服务器验证的问题。

其他支付工具用了其他的解决办法,但微信只给了上传验证这一个选择。微信要保证支付安全,华为要保护用户隐私,也就有了矛盾。双方都没有错,结果却是用户不能使用微信的指纹支付。其他手机厂商情况也是大同小异,也就没什么手机支持微信指纹支付了。

但也要注意,评价君前面所说的都是原生安卓的情况。既然微信能自行解决安全问题,手机厂商也可以,更何况系统能深度定制,让很多手机品牌在新特性上走在谷歌前面。于是我们可以看到一些手机是可以使用指纹支付的,比如华为Mate7。这大概是双方互相认证的结果,但上市的手机那么多,哪个开发者敢为他们的安全性承担责任呢?所以这也许只是针对特定机型的合作。

在安卓7.0以及8.0上,谷歌对系统的安全性又做了进一步强化。与之对应的是微信也做出调整,指纹支付方案也不再通过云端,而是运行在手机的TEE安全环境中,不再有隐私问题,这也就让手机厂商重新支持微信指纹支付有了可能。

评价君猜测,华为EMUI8改变策略,诸如取消bl、不提供系统安装包等措施大概就与此有关,这些手段能有效封堵解锁、刷机或者root的可能,进一步保证支付环境安全。同时也猜测,现在基于安卓7.0以后的手机都有开通微信指纹支付的可能性,毕竟原生内核已经把安全性都做好了,剩下的只是手机厂商与微信之间的适配问题。至于是不是这样和能不能做到,还是拭目以待吧。

(0)

相关推荐