近日，支付寶開放平臺發布《支付寶可穿戴設備安全支付規范》。

該規范分析顯示，可穿戴設備安全威脅主要有三。

一是本地安全威脅，包括攻擊者獲取硬件調試能力，從而控制設備運行；攻擊者篡改或替換設備固件；收集、存儲的個人信息等敏感數據被泄露等。

二是遠程通信安全威脅，包括攻擊者篡改或替換固件更新包，或者使用包含已知漏洞的舊版本固件替換固件更新包；設備與手機/支付云平臺之間的通信被劫持，造成設備綁定到其他的手機或云平臺；設備與手機/支付云平臺之間的傳輸的支付憑證被泄露、篡改、偽造等。

三是業務自身安全威脅，包括攻擊者竊取設備，使用離線支付功能進行支付，損害用戶利益；用戶賬號與錯誤的設備進行綁定，從而損害用戶利益；攻擊者竊取、篡改或替換設備上存儲的設備憑證、支付憑證；惡意應用非授權訪問支付應用存儲的支付憑證等數據。

責任編輯：王煊