Apple Pay liệu có thực sự an toàn?

Việc CEO Apple -Tim Cook giới thiệu Apple Pay được nhận định là “dễ dàng, an toàn và riêng tư ,“ đã làm vơi bớt mối lo về bảo mật thông tin của công chúng, sau sự kiện hình ảnh riêng tư của các nhân vật nổi tiếng bị tin tặc tấn công gần đây, CNBC nhận định.

Nhưng vẫn còn quá sớm để khẳng định khả năng bảo mật của Apple Pay, khi mà sản phẩm này còn chưa được đưa vào thử nghiệm thực tế, một số chuyên gia an ninh đã xác định được những rủi ro tiềm tàng trong hệ thống thanh toán này.

“Nếu công cụ này chính xác nó có thể tăng cường an ninh cho khách hàng, nhưng cũng có thể vẫn còn một số lỗ hổng bảo mật", ông Chris Carlis, nhà tư vấn bảo mật từ Trustwave cho biết.

Khả năng bảo mật của Apple Pay

Apple đã không đi sâu vào mô tả chi tiết các khía cạnh bảo mật của Apple Pay trong lễ ra mắt vừa qua. Nhưng họ cũng đề cập đến việc công ty đã có kế hoạch để bảo vệ dữ liệu của người sử dụng.

Từ khi bắt đầu, Apple đã không có kế hoạch lưu trữ các thông tin tài chính của người sử dụng "trên các máy chủ của Apple hoặc trong thiết bị của họ. Thay vào đó, công ty đang sử dụng một công nghệ gọi là "tokenization" để xác định người sử dụng cho việc thanh toán.

Cách thức hoạt động của “tokenization” được mô tả như sau: Khi một người dùng cài đặt thẻ tín dụng vào Passbook, thay vì lưu trữ số thẻ tín dụng thực tế của người sử dụng, Apple sẽ tạo ra môt số tài khoản mới để xác định người dùng.

Số tài khoản này sẽ được lưu trữ trực tiếp trên iPhone. Apple Watch cũng sẽ lưu trữ số tài khoản tương tự để hỗ trợ người dùng thanh toán qua iPhone 5, iPhone 5s và iPhone 5c. Điều này là cực kì quan trọng bởi số tài khoản khách hàng được lưu trữ trong thiết bị thay vì lưu trữ trên máy chủ của Apple, ông Rick Dakin – CEO đồng thời là giám đốc chiến lược bảo mật của công ty Coalfire cho biết.

Vì Apple không lưu trữ thông tin thẻ tín dụng của khách hàng nên sẽ không có nhà bán lẻ nào biết thông tin của người dùng. Cho nên dù hệ thống của nhà bán lẻ có lỗ hổng, các tin tặc sẽ không thể truy cập vào thông tin tài chính của người dùng. Bởi lẽ,những vụ rủi ro gần đây phần lớn là do tin tặc truy cập vào dữ liệu của nhà bán lẻ, vì vậy phương thức bảo mật mới của Apple sẽ vô cùng có lợi. Tuy nhiên, các chuyên gia cho biết vẫn còn những rủi ro khác.

rủi ro tiềm ẩn

"Hệ thống thanh toán này vẫn tiềm ẩn nhiều rủi ro, những tên trộm luôn tìm cách chiếm tài khoản dù phải ăn cắp điện thoại hoặc sử dụng các thủ thuật xã hội để hack tài khoản hay dò hỏi thông tin về tài khoản đăng nhập hợp pháp”, ông Tom Pageler - Giám đốc an ninh thông tin từ DocuSign cho biết.

"Thanh toán di động thường được thực hiện thông qua ứng dụng hoặc bên thứ ba vì vậy, chỉ một số ít đơn vị trở thành mục tiêu bị hacker nhắm đến. Nhưng với loại chức năng thanh toán được xây dựng trên nền tảng toàn bộ người dùng, mỗi thiết bị di động sẽ trở thành một mục tiêu bị tin tặc tấn công", ông Mike Park, chuyên gia tư vấn quản lí của Trustwave cho biết.

"Khi ra mắt Apple Pay, các nhà nghiên cứu (và cả tin tặc) sẽ ngay lập tức tìm kiếm những điểm yếu, và họ sẽ khó có thể tìm thấy sai sót trên hệ thống này. Mọi người đều muốn thanh toán tiện lợi hơn. Điều này khiến các thiết bị di động ngày càng quan trọng, khi mà chúng có khả năng thanh toán trực tuyến", ông Bob Doyle – chuyên gia tư vấn an ninh tại công ty Neohapsis nhấn mạnh.

Một rủi ro bảo mật khác cũng có thể xuất phát từ việc Apple đặt niềm tin vào việc phát triển ứng dụng của bên thứ ba, các chuyên gia nhận định.

Các công ty như Target, Uber và Groupon sẽ kết hợp Apple Pay vào các ứng dụng thương mại điện tử của họ để tạo điều kiện thuận tiện cho người mua hàng, điều này có thể tiềm ẩn nguy cơ rủi ro an ninh cao, ông Pageler phân tích.

Cảm ứng vân tay liệu đã an toàn?

Theo Báo cáo an ninh toàn cầu của Trustwave, vào năm 2013 có đến 96% ứng dụng scan chứa lỗ hổng bảo mật.

CEO Apple cũng nhấn mạnh, tính năng cảm ứng vân tay được trang bị trên iPhone 5S và cả 2 phiên bản của iPhone 6 sẽ được sử dụng để xác minh các khoản thanh toán, điều này gia tăng khả năng bảo mật của Apple Pay.

Nhưng kể từ khi ra mắt tính năng cảm ứng vân tay trên iPhone 5s năm 2013, tính năng này đã được chứng minh là có thể bị hack.

Ngoài ra, Apple cho biết người dùng có thể truy cập Apple Pay bằng Apple Watch hay sử dụng Apple Pay trên các phiên bản iPhone cũ chưa được trang bị tính năng cảm ứng vân tay. Điều này cho thấy dịch vụ thanh toán Apple Pay có thể sử dụng mà không cần cảm ứng vân tay.

"Vẫn còn quá sớm để tìm ra những điểm yếu an ninh trên hệ thống này. Lỗ hổng an ninh có thể xuất phát từ bất kì chi tiết nào, và chúng ta chỉ có thể kết luận được điều đó cho đến khi Apple Pay gặp vấn đề bảo mật”, Doyle cho biết.

Nguồn Tin: