Apple Pay来了怎么用?怎么防范被别人盗刷Apple Pay?

邱嵩松 > 松松头条 > 黑客新闻 > 正文

Apple Pay来了怎么用?


第一部分:准备阶段

哪些设备能用Apple Pay?

苹果对设备和系统做了双重限制,两者都要满足要求才能Apple Pay。

设备要求,简略的说需要iPhone 6或者更新的手机,还有iPad Air 2与mini 3之后的平板,以及苹果手表。

具体型号:iPhone 6,iPhone 6 Plus,iPhone 6s, iPhone 6s Plus;iPad Air 2,iPad mini 3,iPad mini 4,iPad Pro;还有Apple Watch。

ApplePay入华 移动支付

想完美体验Apple Pay,手机最好别太老

一种特殊情况是,如果你还在用iPhone 5之类的旧型号,因为它没有NFC功能,配个Apple Watch在手表上倒也能Apple Pay。比iPhone 5还老的就不行了,它们不能跟Apple Watch配对。

对iOS系统有要求吗?

iPhone或iPad至少要升到iOS 9.2版,手表至少watch OS 2.1。

怎么绑定卡?

与支付宝能把钱留下不同,Apple Pay只是把一堆实体信用卡变成虚拟卡存在手机里,这也是两者最大不同。

系统自带的“Wallet”应用中,然后点右上角的⊕符号,进入绑卡程序,用摄像头拍卡就能识别,如果卡片磨损了识别不出,可以手动输入,或者通过iTunes绑定。之后银行会发短信确认码,操作步骤基本都是下一步就行。

ApplePay入华 移动支付

已经绑定的卡片会出现在Wallet应用中

btw:在18日清晨,苹果已经开始推动Apple Pay服务选项(不是iOS系统升级),但因为中国的iPhone众多,用户可能会分批收到,不用着急。

我的银行卡能支持Apple Pay吗?

在今天上线时候,首批12家银行已经支持Apple Pay,他们是:中国农业银行,中国银行,上海银行,中国建设银行,中信银行,招商银行,民生银行,广发银行,中国工商银行,兴业银行,中国邮政储蓄银行,上海浦东发展银行。

目前我们尝试了支持银行的借记卡,信用卡都可以。

之后还会增加7家:平安银行,光大银行,广州银行,华夏银行,宁波银行,交通银行,北京银行。

不过除以上部分,实测有visa或master标示的单币种卡现在还不能绑定到Apple Pay。

在美国,英国,澳大利亚和加拿大等已开通Apple Pay的国家还有更多银行支持,详细列表可见苹果官网。

ApplePay入华 移动支付

Apple Pay在国内支持的19家银行

别人的卡能绑到我的Apple Pay吗?

可以。只要有验证码,并且能接收到银行发来的验证短信。

第二部分 Apple Pay能在哪用?

哪些店可以Apple Pay?公交可以吗?

在中国大陆,目前肯德基、麦当劳、711便利店等线下店可以Apple Pay结账,苹果称之后还会增加;刷公交不行,一卡通的结算系统和银联是两回事。

因为Apple Pay兼容银联闪付,所以看见闪付的地方,基本都能用。

ApplePay入华 移动支付

Apple Pay通过银联闪付实现 所以标识通常会放在一起

ApplePay入华 移动支付

用Apple Pay买咖啡

从今天已经支持的线下店有:Apple Store零售店,OK便利店,汉堡王,太平洋咖啡,连卡佛,7-11 (北京),肯德基 (北京),麦当劳,家乐福,好德便利店,伍缘超市,万宁超市,新光天地(苏州),五星电器,农工商超市(上海),City Shop城市超市。

未来,全家便利店,可的便利店 (上海),Costa (南方区),大悦城(上海),Godiva巧克力等也将支持。

苹果的野心不止是线下店面,还有电商,所以Apple Pay也支持App内支付。

App内支付什么意思?

店内支付比较好理解,以前在711里刷卡买泡面,现在刷手机或刷手表就行了。

至于App内支付,以前在猫眼电影买电影票需要会跳转到支付宝结账,现在在应用内点“支付”可以弹出Apple Pay,相比支付宝,它无需跳转到其他App,体验更流畅。

iPad只支持App内支付,估计苹果也明白在711掏出个iPad结账会显得很傻(/TДT)/

ApplePay入华 移动支付

目前支持Apple Pay的设备和支付场景

目前以下App更新后便可以支持Apple Pay:唯品会,当当网,本来生活,聚美有品,美团,大众点评,Enjoy,携程旅游,去哪儿,中国国航,神州租车,易到用车,美团外卖,猫眼电影,微票儿等。

已经确定即将支持Apple Pay的应用还有:京东商城,网易考拉海淘,微博支付。

ApplePay入华 移动支付

今早一大票应用更新支持Apple Pay 
 

第三部分 Apple Pay实战

Apple Pay实际体验如何?

苹果公司对它的描述是“你再也不必到处翻找钱包,也不用再浪费时间寻找合适的卡了”

之前我们用支付宝付账,至少需要:点亮手机——解锁——进入应用——点付款——输入密码(或指纹)——确认付费。

Apple Pay会简化许多:手机碰一下刷卡器——输入密码(或指纹)即可。

ApplePay入华 移动支付

在手机没有网络的情况下,Apple Pay也能使用

多数用户不会(也不需要)深究它们的原理,而只是简单粗暴地用方便与否衡量,在这点上,Apple Pay是合格的。如果说到它的缺点,相比支付宝之类的,Apple Pay是有硬件门槛的,至少你需要个iPhone,而且不能太老的型号,安卓手机是不能Apple Pay的,多高级都不行……

我们在太平洋咖啡、肯德基以及苹果店比较深刻的感受就是速度很快,在支持Apple Pay环境里,手机基本上放在卡机旁边2-3秒就完成了支付。

这让我想起了去年在某个酒店用Apple Watch开房门的情景,第一次会很新奇、很兴奋,习以为常之后基本不用带房卡了。

当这种新奇的东西融入生活之后,第一次使用那种仪式感也便消失了,这大概就是库克之前说过的Apple Pay的长远愿景。

苹果手表脱离手机能Apple Pay吗?

可以。

Apple Watch在支付时是完全独立的,即使没有与iPhone连接也能移动支付。预先在iPhone上绑定好信用卡,便可以实现传说中的“刷表支付”。

ApplePay入华 移动支付

刷表支付

双击手表侧边按钮,选择要使用的信用卡或借记卡,然后将手表表盘对准支付终端。Apple Watch会轻微震动一下,核查标记就会出现在屏幕上,示意支付成功。

我自己其实一直期待这个适用场景:只带着Apple Watch出去跑步,它能连蓝牙耳机放音乐,半路渴了刷表买瓶水。如今终于实现。

Apple Pay是否需要密码?

这个分N多种情况。

1.借记卡需要刷完手机再输密码;

2.信用卡,跟用户有关。很多国内用户都喜欢给信用卡加个密码而不用签名,这样Apple Pay也需要密码;

3.跟银联闪付业务(QuickPass)有关,无需签名或密码的限额是300元人民币;

4.跟商家有关,有些商家即便没到300元限额也会要密码和签名。

手机套会影响Apple Pay吗?

目测手机或手表距离刷卡机2-3厘米内都有效,常规的塑料或皮质手机套不会影响,但淘宝上奇葩手机套千千万,只要别有金属部分挡住iPhone摄像头周边区域影响NFC就行。

ApplePay入华 移动支付

这部分无遮挡就行

苹果自家的手机套都没问题,包括那个智能电池套(Smart Battery Case),虽然它的外观常被吐槽,但并没影响NFC天线。

Apple Pay会有积分之类的么?

苹果把信用卡变成了电子版装进手机里。原信用卡的优惠、积分都不会消失。原来某个饭馆星期三刷招行卡半价,现在用Apple Pay绑张招行卡买单也一样打折,积分也会有。

对用户是否有手续费?

没有,苹果是不收的。如果有也是信用卡发卡银行收费年费。

在中国的Apple Pay是否能在其他国家用?

那19家银行的卡都可以绑定在Apple Pay上,但具体出国之后能不能用,要看国外的商家,他们的收款设备要支持银联,店面也要支持Apple Pay。

第四部分 关于安全

Apple Pay安全吗?

世界上没有100%的安全,只能说针对目前能想到的问题,苹果做好了安全措施。

卡片信息不存储在iPhone里,取而代之的是一个可变的token code,每次买东西发给银行的动态安全码也不一样,而这一切的钥匙是手机上的Touch ID指纹装置,它已经经过了几代iPhone的验证。

苹果也强调了用户隐私:不记录任何通过Apple Pay产生的交易行为,也不会进行用户购买行为分析。并且特意提了一句:“这是苹果与其它对手的最大的差异”。

ApplePay入华 移动支付

Apple Pay技术流程

手机或手表丢了会被盗刷吗?

Apple Pay绑定信用卡时候必须启用指纹识别,如果你的iPhone或iPad丢了,首先有用Touch ID保护。用户也能在远程通过“查找我的iPhone”应用,或iCloud.com网页将它设为“丢失模式”,Apple Pay便会停止。

手表上用Apple Pay页必须先启动锁机密码,如果Apple Watch丢失,可以登陆iCloud或者在iPhone手机上解除Apple Watch支付授权。只要虚拟银行卡号被解除授权,即便是Apple Watch处于离线状态,也会终止支付功能。

Apple Pay与其他厂商支付服务有何不同?

软硬件合一+硬件加密+传感器+支付服务全部整合方式,目前怕是只有苹果能做出来,这又是老生常谈的软硬一体化问题,它的对手谷歌虽然也有Google Pay之类的,但各家厂商不同的硬件和系统(目前还有很多安卓手机内核是4.x版),导致推进慢。

另外一点还体现在号召力上,任何一家公司都可以定制自己的标准,但用户多的才有机会变成行业标准。

其它厂商在想别的办法尝试差异化竞争,据说三星的Samsung Pay支持磁信号安全传输技术(MST),商家无需升级收款机,用户体验类似磁卡,这点我们会等Samsung Pay上线之后再与苹果比较一下。

第五部分 其它问题

苹果或店面有什么优惠推广措施?

这点苹果官方并没特意强调,只是说国内的合作银行有的信用卡优惠之类Apple Pay也会有;对苹果来说,这其实算是取巧的办法,不必自己筹划优惠活动,银行会协助的。

苹果怎么和支付宝和微信的烧钱推广竞争?

因为国内这俩土豪存在,很多人不那么看好Apple Pay。

年初专访菲尔-席勒(Phil Schiller)时候我问过这个问题,他不评论支付宝等服务,只是回答:“苹果一直只关注自己在做的事,不会过多考虑别人的动作”。

面对支付宝和微信的烧钱推广和地推团队,苹果公司未必能放下身段去做类似的事。你无法想象库克船长号召中国大妈们拿着iPhone去超市抢打折大米,但马云可以。

很多观点是,已经习惯了支付宝扫码的用户不会那么容易迁移,即便苹果强势、支付体验好、但Apple Pay也不会是一种爆发性增长,它需要一段时间培育期。往好处看,苹果在最近一个财季里卖了7477.9万部iPhone,并且未来新设备肯定都会支持Apple Pay,它的增长空间很大,银联也需要一个强有力的伙伴牵制支付宝与微信。


怎么防范被别人盗刷Apple Pay?

咦,怎么听起来怕怕的?既然付钱这么简单,会不会存在安全隐患呢?偷偷绑上别人的Apple Pay,然后纵情享受土豪人生。这种人生梦想有没有可能实现呢?


ApplePay ApplePay入华 ApplePay怎么用 ApplePay是什么 ApplePay中国

好吧,现在我们就来科普一下:偷偷盗用别人的Apple Pay,总共分几步。

首先是背景知识:

1、Apple Pay 的原理是把一张信用卡和一部手机硬件绑定。让 iPhone 成为这张信用卡的替身,让 Touch ID 成为信用卡密码的替身。

2、Apple Pay 把用户的银行卡号经过加密转为一段代码,名为“Token”。这个Token存在专门的安全芯片上,和你的Touch ID是邻居。

现在,盗刷正式开始。

ApplePay ApplePay入华 ApplePay怎么用 ApplePay是什么 ApplePay中国

Plan A

先从最简单的方法入手。是否可以通过木马病毒盗取他人手机上的卡号(Token)呢?以往,在苹果手机上安装恶意软件的事件时有发生。但是,不要认为在iOS上随便安装一款软件是一件容易的事情,它需要对系统的多个漏洞进行联合利用。这种联合利用的最高形式就是iOS的越狱。国内越狱大神盘古团队的陈小波(DM557)曾经对雷锋网表示,最近几年苹果的系统版本每进行一次大的迭代,都会增加一重安全机制。对漏洞的挖掘需要越来越强的技术实力。

所以,想要安装恶意软件,一般需要对方的 iPhone 处于越狱状态。但是这还远远不够,因为Apple Pay 的卡号信息是存储在安全芯片之中的。研究无线电安全的独角兽团队负责人杨卿告诉雷锋网:

iPhone 的安全芯片自身是一个体系,有独立的OS和独立的存储区,所以即便获取了手机系统的控制权,也未必能介入到安全芯片之中去取数据。

ApplePay ApplePay入华 ApplePay怎么用 ApplePay是什么 ApplePay中国

【图中高亮部分就是用于支付的安全芯片,它被放置在了NFC芯片之内】

也就是说,如果想要破解Apple Pay,实际上要攻破两套系统:

1、苹果的iOS系统

2、内置安全芯片的系统

然而,iOS安全研究团队涅槃的掌门人高雪峰告诉雷锋网一个悲伤的事实:攻破安全芯片,需要的是硬件级别的漏洞,而自从 iPhone4 之后,全世界的黑客就没有在苹果手机上找到硬件级别的漏洞。

所以,想要用“飞龙探云手”把卡号偷出来的Plan A 几乎宣告破产。更让人泄气的是:由于卡号信息是以Token的形式存储,即使拿到这串字符,也很难解密。

ApplePay ApplePay入华 ApplePay怎么用 ApplePay是什么 ApplePay中国

【Apple Pay 的 Token 验证示意图,反正很复杂就是了。。。】

Plan B

看来拿到手机里的信用卡号非常难,那不如我们直接把朋友的信用卡偷来,绑定到我的 iPhone 上吧。你可能会问,既然拿到了别人的信用卡,我直接用信用卡消费不就可以了吗?其实并不是。在大多数情况下,信用卡消费是需要验证密码的。而在把信用卡和 iPhone 绑定的过程中,信用卡的密码是不需要的。只需要输入“卡号”“信用卡CVV码”和“绑定手机验证码”这三个隐私信息。

前两个信息在卡上都可以找到。但是问题仍然很严重,这绑定手机的验证码却非常难得到。除非你同时拿到了一个人相互匹配的手机和信用卡,才可以成功把这张卡和你自己的 iPhone 绑定。想必能让你这么做的,只有你的老公/老婆吧。与其这么麻烦,还不如揪着他的衣服,逼他给你付账来的痛快。

ApplePay ApplePay入华 ApplePay怎么用 ApplePay是什么 ApplePay中国

【信用卡背面的这三位数字就是CVV码】

Plan C

以上计划都不成功,看来我们需要使出最后的杀手锏——把别人的 iPhone 偷到手。这样的计划也适用于你捡到一台 iPhone。

用捡到的iPhone去超市买东西,同样会遇到一个致命的问题:即使只花一分钱,也需要手机主人的指纹。这个指纹其实就存在手机里,而你就是没办法拿到它。指纹信息存储于苹果引以为傲的安全芯片中,多年以来黑客们多次尝试攻破安全芯片,结论是:想要拿到安全芯片里的信息,对一般黑客来说代价高到不用尝试。有人做了如下有趣的比方:

iPhone 的CPU里住了很多工人,他们共同计算和处理用户给予的任务,但指纹、密码等信息却是由一个哑巴工人来看管。当用户在支付时,其他工人就需要对指纹信息进行识别比对,这时候只能去问哑巴工人,但他由于不会说话,只能用摇头或者点头来表示“是”与“否”。所以想要让哑巴告诉你他看守的指纹究竟是什么,简直比登天还难。

在黑客找到破解 Touch ID 的办法之前,你只能望机兴叹。。。

Plan D

你都已经拿到了别人的 iPhone,还是没办法用他的钱愉快地购物,这个事实还真让人沮丧。 不过,让我们把自己想象得再幸运一些,你捡到一个没有设置 Touch ID的 iPhone。这个时候使用Apple Pay 的话,就会要求你输入信用卡的支付密码。至于怎么搞到这张卡的密码,就是另一个故事了。

其实在这种情况下,还有一种“贼不走空”的解决方案:你不妨去找找手机里的微信支付和支付宝。因为大多数的微信支付和支付宝都是小额免密码的,这也算是对机主不设置Touch ID 这种行为的小小惩罚吧。

ApplePay ApplePay入华 ApplePay怎么用 ApplePay是什么 ApplePay中国

结论

说了这么多,其实没有一个完美的盗刷计划。可以看出苹果在 Apple Pay 的安全方面,还确实是下了心思的。

Apple Pay在国外推出这么久,还没有黑客对它成功破解。而对于 Apple Pay 在中国的落地,相对脆弱的部分应该是苹果手机和银联、银行之间的支付协议。雷锋网了解到,目前国内的众多安全团队正在开足马力,对 Apple Pay 的支付协议进行代码层面的分析,相信不久就会有详细的分析报告出炉。


邱嵩松点评:以后也许就支付宝、财付通、Apple Pay 三足鼎立哩。其他的分剩下的20%-30%的市场。

那么,如何利用APPLE PAY赚钱?请关注微信 dianyingzhale 右下角菜单 我要赚钱 学习日赚50的方法。


上一篇:[黑客新闻]
下一篇:六大航空为什么围剿去哪儿?为您揭秘幕后“穿山甲”项目的故事
欢迎添加邱嵩松 QQ:3876307 微信:shangaomugong 合作交流