NFC安全吗?
- 来源:中国计算机报 smarty:if $article.tag?>
- 关键字:iPhone6,NFC,支付安全 smarty:/if?>
- 发布时间:2015-01-27 08:43
备受关注的苹果手机从iPhone6开始支持NFC(近距离无线通信技术,Near Field Communication),再次引起了人们对NFC的关注。
NFC被认为是一种相对安全的,可以用于身份识别、支付等各种场景的通信技术。除了智能手机,目前已经有越来越多的智能设备开始支持NFC技术。然而,有国内媒体报道,一位南京的用户无意间将IC芯片银行卡和带有NFC功能的手机放在了一起,发现该手机可以读取银行卡的交易账单信息,其中包括银行卡卡号、交易次数、电子现金余额。他点击交易记录后,发现最近十次交易记录也一一在列。
2015年初,北京瑞星信息技术有限公司(下文简称瑞星公司)发布的《瑞星2014年中国信息安全报告》明确指出了NFC的支付安全问题。该报告指出,随着2015年IC芯片银行卡全面取代普通磁条银行卡,NFC支付成为全社会关注的焦点。然而由于NFC技术一直未被大面积应用, 因此作为备受瞩目的下一代支付方式,NFC支付存在很多安全防护漏洞,这些漏洞如不能得到妥善处理,将埋下巨大的安全隐患。
那么,NFC的安全性到底有多高?我们应该如何看待NFC等新技术的安全性问题呢?
被破解
瑞星公司市场总监唐威表示,NFC技术可以支持用户的转账、支付、自动读取身份信息等操作,完成该类操作时,卡片无需与手机直接接触,只要在一定距离内,手机就可隔空读取卡内信息。因此,在公交、地铁、商场等人流密集的公共场所,用户就存在丢失卡片上的财产、泄露重要身份信息的可能。
唐威还告诉记者,瑞星公司云安全系统曾截获一例NFC病毒,它可以在手机和IC卡通信的过程中改写IC卡中的数据,以达到篡改或破坏IC卡的目的。目前,该病毒技术尚不成熟,行为也较为单一。然而,NFC支付的发展空间巨大,未来,黑客很有可能加大对NFC病毒的研制力度,届时,利用病毒盗取银行账户内的钱款或盗取用户隐私信息。
事实上,早在2012年,美国的两名研究人员就发现了NFC支付存在严重的安全漏洞,他们将卡片破解之后可以免费乘坐美国的地铁。在英国,也有当地媒体报道,只要将手机在近距离处轻轻一扫,就可以在几秒钟内完成对银行卡基本信息的读取。读取后的信息可以用在网络购物上,还可以用来回答银行所设的安全问题。据统计,英国近3000万个非接触式银行卡正面临着这样的威胁。
瑞星公司的安全报告也指出,攻击者只需要一些专业设备就可以对卡片余额或其他信息进行篡改、复制。因此,在芯片银行卡普及以后,不排除出现利用篡改技术进行大额金融犯罪的可能。
盗刷并不容易
NFC真的那么脆弱吗?实际情况似乎并非如此。破解了美国地铁的安全研究员把他们的这项破解实验用于伦敦地铁时,发现他们的破解毫无作用,这是因为伦敦的交通系统对NFC卡使用了更先进的加密方式。也有人指出,出现破解问题是因为美国交通系统没有设置安全保护层,而并不是NFC本身有技术缺陷造成的。
有业内人士指出,针对NFC的盗刷问题,在技术上存在解决方案。比如在现有的机制下,一般是终端在交易时会去校验卡片的合法性,对于非法的卡片,终端会拒绝交易。那么可以增加双向校验的机制,即增加卡片对终端的校验,对于非法终端发起的交易请求,卡片自身也可以拒绝。此外,从卡片上扣取金额仅仅是第一个步骤,如果无法获得盗刷的金额,对于盗刷者来说也是徒劳的。在清算的时候,只有合法的终端系统才会进行清算,也就是在收单行有登记的终端。那么对于非法终端来说,虽然获取了交易资金,但是因为没办法清算,拿不到钱,也是徒劳的。
另一个显而易见的问题是,由于NFC是非接触式的,如何避免在拥挤的场所,盗刷者使用合法的移动POS进行非接触盗刷呢?毫无疑问,这类盗刷的可能性在理论上是存在的。
然而,移动POS的灵敏度较低,盗刷的操作难度并不低。有安全专家指出,即使在正规场所的POS刷卡位置上,卡稍微放偏,交易便会失败,同时金融非接触卡片交易所需要的时间要长于普通的公交卡片,也就需要把卡片在终端上放置更长的时间才能完成交易。那么在非授权场所,非接触卡被盗刷是非常难的。
事实上,NFC读取IC芯片银行卡的数据需要保持在4厘米以内,并且要保持在不动状态下才可读取,如果超过了通信距离就无法读取,这就保证了安全性;其次,部分银行卡只能读取部分卡号,其余号码都进行了隐藏处理,所以即使被读取也不会带来隐私泄露;再次,要进行转账支付业务的时候,通常会需要输入密码,这也保证了安全性。
该专家指出,部分IC芯片银行卡可以被NFC设备直接读取个人信息、账号信息、交易记录并且不做任何加密处理,这就导致用户对隐私泄露的担忧,银行应该减少或者加密写入NFC标签的个人隐私信息。如果用户仍然担心NFC的安全性,可以在手机设置中将该功能关闭。
系统地看待安全问题
当然,安全和便捷永远是一对矛盾体,在NFC支付问题上仍然如此:如果要提升安全性,就会影响用户体验;如果让用户尽量快速地刷卡成功,又可能会引发盗刷等安全问题。
恩智浦半导体全球销售和市场执行副总裁Steve Owen认为,2015年手机NFC安全支付会得到快速发展,安全性显然是NFC支付必须保障的。他指出,安全系统不仅包含手机等设备,还包括周边的设备,以及设备之间、设备与系统之间信息交换的过程。所以,除了硬件设备上的安全外,系统和云服务方面的安全也是重点,这些方面的安全需要不断地巩固和发展,从而更好地维护敏感的网络和基础设施。
显然,Steve Owen的视野更加宏观,安全问题也确实需要从整个系统的角度去考虑。就以美国地铁破解事件来说,地铁公司就需要对系统进行有效管理和升级,及时弥补漏洞才能确保系统的安全。
链接 关于NFC技术
NFC技术由非接触式射频识别(RFID)演变而来,由飞利浦半导体(现恩智浦半导体公司)、诺基亚和索尼共同研制开发,其基础是RFID和互联互通技术。它是一种短距高频的无线电技术,在13.56MHz频率运行于20厘米距离内,其传输速度有106Kb/s、212Kb/s或者424Kb/s三种。目前NFC已通过并成为ISO/IEC IS 18092国际标准、ECMA-340标准与ETSI TS 102 190标准。NFC采用主动和被动两种读取模式。
本报记者 程彦博