眼下，站上移動支付風口的智能POS也站在了輿論的風口。

　　10月下旬，在2017安全極客大賽上，一支參賽團隊僅用25分鐘就利用某廠商的一款智能POS終端的漏洞，偷偷在智能POS中植入一個后門，替換關鍵應用軟件，繼而獲得所有在POS機上的刷卡信息，包括支付密碼。

　　據悉，這款智能POS被廣泛用于各種移動支付線下交易場景，2016年上市以來，累計出貨量已超150萬臺。隨后，智能POS廠商針對此事做出回應，稱盤古實驗室利用未公開的終端操作系統(tǒng)漏洞對POS設備進行模擬攻擊演示，而且此次受攻擊的產品固件為早期版本，現(xiàn)有固件版本的防護機制可以有效防護針對該漏洞的攻擊。

　　回應中“未公開的終端操作系統(tǒng)漏洞”，實際是將問題矛頭指向目前智能POS普遍使用的安卓系統(tǒng)。

　　據悉，在安卓操作系統(tǒng)下，所有源碼對外開源。因此，其漏洞更容易被發(fā)現(xiàn)，也更容易被攻擊。據統(tǒng)計，2016年上半年安卓新增手機支付病毒包高達32.33萬個，相較于2015年增長了986.14%。感染用戶數達1670.33萬，增長45.82%。由于智能POS使用了同樣的Android系統(tǒng)，這些病毒的大部分將適用于智能POS。

　　不過，銀聯(lián)在事后回應中指出：真實終端在收單機構和商戶的嚴格管理下，不會輕易被攻擊破解，風險可控。且該攻擊僅能夠獲取銀行卡磁條信息，不能復制芯片卡信息。根據人民銀行要求，2015年起已全面換發(fā)芯片卡，目前復合卡的磁條交易已全部關閉，使用芯片卡進行揮卡、插卡操作不會發(fā)生此類問題。

　　對此，一位不愿具名的業(yè)內安全專家則對記者表示，智能POS支持磁條卡、芯片卡、二維碼等多種支付方式。不過，無論是與磁條卡還是芯片卡相比，當下移動支付的主流方式——二維碼支付才是一種更為安全的選擇：“二維碼支付的安全性是通過“二維碼+動態(tài)口令”方案來保證的，這一方案為二維碼支付打造了一道安全可靠的屏障”。

　　據悉，二維碼是用計算機軟件編碼技術形成的平面幾何圖形，能夠在橫向和縱向兩個方位同時表達信息，可以存儲數字、漢字和圖片。本質上，二維碼是一種承載信息的載體，可以承載商戶信息、交易金額、支付憑證信息等。這就為二維碼應用在支付上提供了基礎。不過，要實現(xiàn)安全的二維碼支付還需要結合“動態(tài)口令”這一技術。動態(tài)口令是根據專門的算法生成一個不可預測的隨機數字組合，每個密碼只能使用一次，被廣泛運用在網銀、網游、電信運營商、電子商務等應用領域。

　　當二維碼與動態(tài)口令技術相結合時，二維碼支付的安全性就產生了質變。如果仔細觀察用于收付款的二維碼便會發(fā)現(xiàn)，這些二維碼在短時間內會自動失效,如果無法完成操作的話必須重新生成二維碼。正是因為二維碼支付這種“動態(tài)性”，二維碼信息被截取利用的風險就大大降低了。

　　當下，二維碼支付不乏擁躉者。過去數年里，以微信支付為代表的第三方支付機構大力推動二維碼支付普及，“掃一掃”逐漸成為一種大眾支付方式。在二維碼支付安全方面，微信支付也早有動作。今年4月，騰訊玄武實驗室就曾對國內二維碼技術公司的自助式掃碼支付設備“意銳小白盒”做出安全認證。

　　除了微信支付外，2016年12月，銀聯(lián)也推出《中國銀聯(lián)二維碼支付安全規(guī)范》，銀聯(lián)二維碼遵循現(xiàn)有銀行卡支付的四方模式，采用支付標記化(Token)技術以確保支付安全。

　　“在移動支付發(fā)展的大潮下，二維碼支付的安全性會不斷得到驗證及強化。二維碼支付技術為移動支付時代樹立了一道安全屏障”，上述業(yè)內安全專家表示：“智能POS作為移動支付時代的產物，也應該將掃碼支付作為最主要的支付方式。”