拿起我的标签：了解和缓解移动支付中的同步令牌提取和支出

移动脱机即使在没有可靠网络连接的情况下，也可以通过柜台进行购买。主流支付服务提供商（如谷歌、亚马逊、三星、苹果）提出的流行解决方案依赖于付款人设备和POS系统之间的直接通信，通过近场通信（NFC）、磁性安全交易（MST）、音频和二维码。尽管已经采取了预先防范措施，以保护通过这些渠道进行的支付交易，但人们对其安全影响的了解较少，尤其是在这种新的电子商务服务面临独特威胁的情况下。

在本文中，我们报告了一种新型的移动离线支付场外支付欺诈，它利用了现有方案的设计，这些方案显然没有考虑到能够积极影响支付过程的对手。我们的进攻叫做同步代币提取和支出（STLS），证明积极的攻击者可以嗅探支付令牌，通过各种方式停止正在进行的交易，并将令牌快速传输给合谋者，以便在令牌仍然有效的情况下将其用于其他交易。我们的研究表明，此类STLS攻击对流行的离线支付方案构成了现实威胁，尤其是那些旨在向后兼容的方案，如三星支付和支付宝。为了缓解新发现的威胁，我们提出了一种新的解决方案，称为POSAUTH公司STLS风险的一个根本原因是易受攻击的移动离线支付方案使用的通信信道的性质，这些通信信道很容易被监听和阻塞，更重要的是，由于信息只能单向传输，因此无法支持安全的相互挑战响应协议。POSAUTH通过将当前POS终端的一个唯一ID合并到支付令牌生成中来解决此问题，方法是快速扫描POS终端上打印的二维码。当与短有效期结合使用时，POSAUTH可以确保为一个事务生成的令牌只能用于该事务。