近日,中国移动与中国银联正式推出NFC支付服务,NFC支付概念正式走进国人生活。与此同时支付带来的安全顾虑也成为了人们关注的焦点。本次移动支付网将从事件、观点、流程等方面剖析NFC支付安全问题。
NFC破解事件和POS模拟
在6月初,一条英国的盗刷新闻引爆了业界的讨论,据英媒报道,只要将手机在近距离处轻轻一扫,就可以在几秒钟内完成对银行卡基本信息的读取。读取后的信息可以用在网络购物上,还可以用来回答银行所设的安全问题。据统计,英国近3000万个非接触式银行卡正遭受这样的威胁。而制造盗刷的成本只需要30英镑上网购买窃取软件,并将带有NFC功能的手机稍加改良,即可进行盗刷活动。但实际上,如果银行卡个人化企业或者银行在向卡片中写入个人化信息时,进行相应的敏感信息加密存储的话,即使手机终端能够读取到相应的银行卡信息,也仅限于卡号。对于完成一笔交易需要的其它信息,如身份证号,有效期,CVN等来说,仍然是无法获取的。也就这些被读取的信息实际上不足够完成一笔交易。国内银行卡不同发卡方,可读取的公开信息不同,某支付界人士向移动支付网透露:“比如A银行的卡片,用NFC软件读取,只能读到卡号信息;但是B银行的卡片还能读到身份证号,这说明B银行卡片的安全性要弱于招商银行的。”
而在2012年的美国,两名研究人员也发现了NFC支付严重的安全漏洞,破解之后可以免费乘坐地铁,破解的原理在于,当卡里的余额到达零点时,这个叫做UltraReset的应用可以重新写入新的余额数字,并“告诉”系统卡里还有钱。研究人员透露,NFC卡本身具有只读保护,但交通系统则没有设置该安全保护层,这就让破解程序有了可乘之机。这项破解实验对于伦敦的地下铁将没有效果,因为当地的交通系统对NFC卡使用了更先进的加密方式。交通公司对系统管理和升级不到位,造成了本次的漏洞。对于NFC支付,TSM管理的重要性也在此突显。对此,NFC forum方面也曾作出解释,这是当地地铁公司的协议问题,而不是NFC本身技术缺陷。对于美国交通系统没有设置安全保护层的问题,国内从业人士向移动支付网透露,没设置的原因是可能是因为交通卡对于通过闸机的速度是有要求的,过多的考虑安全性,就会影响交易的速度。
前两个事件属于非官方性的破解改造,而移动支付网最近报道的葡萄牙技术公司Morpho近期则试点,利用NFC手机改造成移动POS进行收单,而参与者不乏运营商和信用卡及清算巨头万事达和Visa。具体的方案尚没有公布,但是通过NFC手机改造进行移动POS收单是可以实现的。目前有不少NFC手机的开发者都在设想将NFC手机模拟成一部POS机,但这种模拟会导致POS机的数量大大增加,对于卡组织来说,对于传统的POS机,风险是可控的,但如果大量的手机终端涌入市场,风险将更不可控,目前尚未看到国际各家卡组织对于此种方案的意见。
业内人对盗刷的看法
业内人士提出几点NFC盗刷的情况,首先使用NFC手机获取非接卡片的非加密信息,并将此信息通过伪卡交易消费。其次是用NFC手机改造为POS终端,对非接触卡进行交易,这种情况类似于将葡萄牙的NFC手机改装成POS,进行盗刷。
这两种情况属于逻辑出错,可以通过更完善的管理和规范进行修复,一般情况下,非加密信息即使被盗取,也不能通过制造伪卡来实现盗刷,如果一旦情况出现,那么将是大规模的漏洞,需要修改规范来防止。
另外,技术上也有一定的解决方案,比如现有的机制下,一般是终端在交易时会去校验卡片的合法性,对于非法的卡片,终端会拒绝交易。那么可以增加双向校验的机制,也即增加卡片对终端的校验,对于非法终端发起的交易请求,卡片自身也可以拒绝。但这种方案对于卡片和终端的运算速度有着更高的要求。同时,对于这种方式的效果在业界也一直有争议,一方面的观点认为盗刷实际上是一个非常小概率的事件,另一方面技术手段的提升会导致终端和卡片都需要进行更多的改造。各方需要承担更多的改造成本。
就POS终端而言,从卡片上扣取金额仅仅是第一个步骤,如果无法获得盗刷的金额,对于盗刷者来说也是徒劳的。某从业者在接受移动支付网采访时介绍:“在清算的时候,只有合法的终端系统才会进行清算,也就是在收单行有登记的终端。那么对于非法终端来说,虽然获取了交易资金,但是因为没办法清算,拿不到钱,也是徒劳的。”此外,国际卡组织对于非接触式交易终端请款时效均有一定要求,支付界人士向移动支付网透露:“目前银联规定为20天,也即发生交易后20天内,如果收单行不去向银联和发卡行索要这笔交易的资金的话,收单行将失去后续再请款的机会。因此,如果持卡人对卡片上交易的纪录有异议,可以向发卡行提出申诉,发卡行可以根据卡片交易的情况,还原出当时的卡片金额。”对于不能获利的盗刷来说,只能将其当作恶作剧来看了。
与此同时,也有人指出,使用合法的移动POS进行非接触盗刷,如在拥挤情况下,如何防范。理论上此类盗刷可以存在,但是移动POS灵敏度较低,如要盗刷操作难度大。业内人士指出:“即使在正规场所的POS刷卡位置上,卡稍微放偏,交易便会失败,同时金融非接触卡片交易所需要的时间要长于普通的公交卡片,也就需要把卡片在终端上放置更长的时间才能完全交易。那么在非授权场所,非接触卡被盗刷是非常难的。” 同时这也引出一个问题,合法POS要做的好用,那么不怎么对准也可以识别,但是越好用就意味着POS越容易盗刷,这更多的还是需要加强POS的管理,需要POS机的布放方采取更严格的终端管理机制。
面对英国的大范围盗刷可能,首先应该修改规范,规定哪些信息可以从非接触式界面读取,不然这将比磁条卡更好截取信息。其次POS拥有终端安全机制,如PSAM或者银行发的SE,手机没有,通过手机进行盗刷问题不大;而最后一个问题,还需要各运营组织(如Visa、万事达、银联或者公交公司等)加强对POS的管理,对于NFC技术本身,原本就是短距离通信,在距离上较难实现盗刷。市场中也有出现铝箔片卡套之类的产品,防范此类盗刷,因为NFC技术是无法穿透金属的,这也是2.4G与13.56MHz的其中一个争议点,如果2.4G大规模应用,那么金属套也无法防范盗刷。而管理成本和盗刷风险之间的权衡也是所有运营组织需要思考的。
对于英国的盗刷问题,南京理工大学计算机学院副教授邵通认为:“这是英国卡在网络使用的安全性问题,中国没有这个问题,但是手机病毒通过NFC把用户的卡号(NFC)+密码(病毒窃取手机输入),那么磁条卡类型就麻烦了,另外手机病毒窃取手机短信,由可以盗窃卡号+短信的支付。”
而对于葡萄牙的NFC智能手机改装成POS机的方案,其重点在于,智能手机只不过是一个信息的接收和处理工具,支付的安全信息需要联网确认,支付信息的处理需要PSAM卡之类的安全保障,该方案的机座对NFC支付的安全起着至关重要的作用,而手机本身,则是整个支付的信息接收和处理“傀儡”,把握支付关键点的仍然是统一清算机构发放的安全证书,如PSAM卡。邵通还认为:“不仅需要PSAM,而且必须保证手机的操作系统是安全的,否则可以进行交易金额的篡改。也许只是捣乱,如果手机的被改造,还可以进行收单账户的篡改,假冒PSAM。”
移动支付未来的趋势是3A(Anytime Anywhere Anyhow)支付,问题也正在于此,3A支付是POS无处不在,不是卡无处不在。如何管控好POS是需要长期摸索的问题,无论是从技术还是管理。
最强病毒与SE
作为市场占有率最大的手机系统,安卓系统的开放性让各大手机OEM商纷纷入驻,但是开放的同时,其安全性也随之降低。今年6月初,安卓平台出现了非常强大的病毒,利用安卓漏洞取得设备的管理权,并且无法卸载,更可怕的是,该病毒可以通过云端指令发送定制业务短信,然后屏蔽运营商回执,从而实施恶意扣费。业内人士调侃,“这或许是哪个亏本的运营商研究的病毒。”该病毒对用户最大威胁就是涉及支付。短信支付在病毒的肆虐下,变得毫无安全可言,那么进一步猜想,如果某病毒控制NFC手机,那么NFC支付是否会变得危险?
也有人提出,安全的手机支付,必须假设手机就是黑客制造,操作系统也是黑客全控。就是说手机持有人的任何在手机上的动作,黑客都能模仿,所有输入数据都能重输(重放攻击),在这个情况之下,添加NFC支付,能够识别危险,或者避免危险,完成安全的支付,那么这才是真正的安全。
NFC支付就需要关乎SE安全元件的问题,承载NFC支付虚拟应用的电子钱包,其信息是储存于SE安全元件当中,即使手机中毒,SE安全元件仍然可以保障支付的安全,业内专家表示,“电子钱包信息与手机基带芯片不交换,除非OS(操作系统)可以读取SIM的所有信息,并复制SIM,否则这不可能。”众所周知,SIM卡是不可复制的,那这就杜绝了OS中毒,致使NFC支付出现威胁的情况,SE安全元件对电子钱包信息的保护发挥着至关重要的作用,这也是运营商、银行、手机OEM对SE安全元件利益争夺的重要原因。
病毒手机不能给NFC支付带来威胁,但是若是SE安全元件被破解呢?SE安全元件主要为防止外部恶意解析攻击,保护数据安全,在芯片中具有加密/解密逻辑电路。而SE一般在TSM的控制之下,只有获得TSM安全域的控制权,才能够下载和安装卡上应用。获得安全域的控制权,从而影响NFC支付的正常,是不太可能的。
NFC安全分析
对于NFC安全仍然要回归其基本的三大功能,卡模拟、读写、点对点交互。而功能之下,技术上都是通过频段进行数据传输,在传输过程,近场通讯安全可能遭到破坏的方式可分为四种:窃听、数据破坏、数据篡改、中间人攻击。
前三种攻击方式,所需要的技术能力较强,危险不大。有安全分析师表示一些针对NFC手机的仿冒和欺骗攻击已经是事实,NFC数据安全最让人忧虑的是“中间人攻击”,通过在一台手机上插入某种形式的间谍软件或恶意软件,达到再感染其它手机,这样一来窃取用户的数据。而现在的反病毒软件和操作系统架构,控制着应用程序之间的信息流,这样就提供了重要的保障措施,到达减轻这类攻击的效果,另外,智能手机、制造商和无线运营商还有着强大的加密手段和认证协议,这也是以确保NFC移动支付安全一个重要手段。不过前提是协议无漏洞,实现无BUG。
总述,对于NFC盗刷问题,通过合法POS在非授信环境中的盗刷,难以防范,但是由于通信距离近,而且成功率较差,被盗刷风险存在,但是难度大。而通过改造NFC手机进行盗刷,需要清算机构和POS管理方的规范管理。对于NFC支付安全而言,TSM平台和SE的结合至关重要,是保障支付安全的核心所在。移动支付网了解到,TSM和SE是密码领域从76年(“密码学的新方向”)就开始研究关注的问题,84年后又陆续进入实际操作,中国CA中心的建立也有一段一哄而上的历史,在安全上,TSM与SE结合本身没问题。而其他安全问题,随着NFC移动支付的发展,也将会逐渐变得可靠,成熟,让人们易于接受,造福人们生活。