详情
银行卡漏洞:手机NFC可刷出IC芯片的交易记录
作者:毛宇舟
时间:2014-06-10 10:04:47
据此前的报道,某用户无意间将带有IC芯片的银行卡放在了某品牌手机背面,不到1秒钟时间,手机便显示了银行卡的交易账单信息,期间并没有要求用户输入任何密码。对此,笔者进行了一番验证:

  带IC芯片的银行卡确实存在漏洞。造成手机刷出IC芯片卡信息的最根本原因在于银行,是银行在发行IC卡时没有考虑周全导致的。

银行卡漏洞:手机NFC可刷出IC芯片的交易记录

带有IC芯片的银行卡

  据此前的报道,某用户无意间将带有IC芯片的银行卡放在了某品牌手机背面,不到1秒钟时间,手机便显示了银行卡的交易账单信息,期间并没有要求用户输入任何密码。对此,笔者进行了一番验证:

  1、使用OPPO Find 7的NFC功能感应招商银行IC借记卡,仅显示银行卡卡号末四位、使用次数和身份证号首末位,交易记录无法查询;

  2、使用三星GALAXY S3的NFC模块识别IC借记卡,支付宝弹出手势解锁界面,卸载支付宝后,手机无法识别银行卡;

  3、使用索尼Xperia Z1 Compact的NFC模块识别农业银行IC借记卡,支付宝成功显示完整卡号和近期银行交易记录。

银行卡漏洞:手机NFC可刷出IC芯片的交易记录

支付宝完整显示了借记卡卡号和详细交易记录

  从试验中,我们已经成功证明了上述事件的真实性,这确实是IC芯片卡的一大漏洞,给用户资金安全埋下了安全隐患。看到这篇文章的用户不妨自行对银行卡进行测试,若发现储蓄部分的详细信息可以读出,请务必到银行进行更换。持传统银行卡(无IC芯片及卡面上不带有“闪付”字眼的银行卡)的用户则无需担心。

  IC漏洞不是手机的错,错在银行

  手机上的“NFC”即近场通讯技术,与公交车上的刷卡机原理基本一致,其本质作用是读取卡片芯片内的数据,对数据内容没有主动选择性。另一方面,支付宝在这一事件中充当了“解码器”的角色,将卡片数据转化为我们看得懂的卡片信息。以上两个环节均不能对敏感信息进行屏蔽,而唯一能做到“硬屏蔽”的,只有发行IC芯片卡的银行。

  公交IC卡为非记名、无挂失卡片,不会存储任何用户信息,同时会有储值上限,因此即使丢失也仅是小额的资金损失,个人隐私不会泄露。而从我们的试验中发现,银行借记卡的IC芯片竟然连卡号和身份证号也储存了进去,这是银行在发行IC储蓄卡时没有考虑到的问题。

  除了电子余额(即可以像公交卡一样用于小额消费的金额部分)、IC串号和通过无记名方式产生的交易记录外,其他信息必须只能储存在银行卡传统的磁条中,这样才能保证其他人不会通过手机NFC轻易获取银行卡的敏感信息。因此,这一问题并不是某个手机的错,而是银行的疏忽。这一事件提醒银行必须把IC卡片的完善工作提上日程,把用户隐私和资金安全摆在第一位。

  相关问题:

  1、会不会有人拿着NFC 手机从大家身边擦身而过,把大家的银行账号都读走?

  答:“擦身而过”略显夸张,NFC识别至少需要卡片稳定地接近手机感应区域一小段时间(大约不到1秒钟),不过只要满足了“停留一段时间”这个前提条件,哪怕隔着皮包,陌生人的手机都可以识别到其中的信息,就像很多人直接用手提包刷公交卡一样。一旦银行卡IC芯片存在漏洞,安全风险是非常大的;

  2、没有NFC功能的手机会不会同样刷得出ic卡记录?

  答:不会,仅有NFC模块可以识别到IC磁性信息,手机的其他部件均不具备该功能;

  3、如何防范?以后如何改进?

  答:用户首先要先验证一下自己的银行卡是不是存在这样的问题,若“不幸中枪”,一定要找银行更换卡片。除此之外,我们要妥善保存银行卡,放在钱包、书包内侧等比较深入的位置,让NFC无法穿透。在进行IC支付时,要确认卖家的收款设备是否正规,银联有推出”闪付“的IC支付业务,要认准”闪付“的品牌Logo。对于改进,我们只能希望银行自身提起足够重视,给用户一个满意的答复了;

  4、对于NFC,会不会根据这个来监控家人收入呢?没准会成一个防止出轨的利器啊……

  答:虽然这个问题有点……但是按照上述漏洞推断,在某些情况下确实可以做到。不过笔者告诫大伙,家庭和谐才是第一位哦!

上一篇:巴西机场通过自助机进行自助签到和NFC登机 下一篇:英米加推出最新具有传感功能的RFID标签