NFC射频识别应用安全分析 不只是支付
NFC应用带给人们全新的生活方式
网络结算的迅猛发展,改变了持续了一千多年的传统交易习惯。现阶段各种结算方法里,运用NFC无线感应技术完成的结算方式,应当是网络应用进步与移动设备完善共同作用的结果。这种东西在现实层面,支付手段的更新其实只是NFC的一项具体应用,但这项应用具体体现在某些卡片或手机上,便产生了一种启发效果。
但是,便利性越强,安全隐患越突出,那么NFC射频识别技术,以及NFC相关应用,在实际使用中的安全表现怎样呢?相信阅读本文后,大家能够获得更深入的认知。
不仅仅是支付 NFC射频识别应用安全分析
或许人们从前就耳闻过NFC,不过仅有少数手机拥有此配置,当初,仅高端机型才有可能安装NFC功能。
众所周知,蓝牙在实现不同设备互联之前,必须借助蓝牙功能或验证码完成配对,配对成功后才能建立连接;相比之下,NFC只需将两个设备靠近,就能直接进行文件分享、软件互送,无需进行任何配对准备工作。
蓝牙的连接过程,必须借助验证码或设定特定密码来完成,而NFC技术,只要双方设备具备NFC功能,就能直接建立联系,这种无需密码验证的快速对接方式,是否会在安全性上带来风险。
目前为止 NFC技术所涉及到的领域
NFC手机目前可用于交通出行、购物消费、休闲娱乐等场景进行小额支付,同时也能应用于门禁管理、停车收费、巡更记录、消费统计、考勤管理等方面。此外,NFC技术以手机作为载体,能够实现传统IC卡无法做到的空中发卡、空中充值、在线验证、账单查询、远程解锁等便捷操作。另外,人们能够借助手机内置的NFC感应功能,将其转化为便携式操作设备,用以取代常规的IC卡识别装置,对其他具备NFC功能或IC芯片的手机进行交互等操作。NFC技术的推广,为人们开创了全新的生活模式。
硬件层面的关联稳固性,或许我们难以直观审视,不过先前论述指出,NFC在器具中的用途,另一面借助程序来彰显,而我们从程序运用角度着手,应该是一个较易攻克的要害。
一卡通NFC软件充值有什么隐患?
最近北京公交集团推出了一款官方应用,用户可通过该应用为市政交通卡进行自助充值操作。该应用应用了NFC技术,是NFC技术与软件程序结合后的一种创新应用。要查询北京一卡通的相关信息,需要借助专门的软件,一旦成功识别卡片,便能够便捷地查询到持卡人的详细刷卡情况、账户余额、卡片有效期等数据。
这项软件的重要功能在于处理充值业务kaiyun全站app登录入口,借助NFC技术能够读取公交卡,这算得上是一项重要的发展,不过将用户支付信息乃至银行账户详情与之关联,由于NFC在连接环节和交易环节缺乏加密措施,其安全性是否存疑,有待深入分析。
给市政一卡通充值 现在您只需要一台手机一款软件即实现
一卡通消费记录
以北京市为例,城区街道上我们经常能够看到许多地方都设有公共电话亭,尽管这些电话亭在当前风尚影响下已经逐渐过时,但它们并非完全没有用途。将校园卡插入话机卡位,您会发觉可以直接用公交卡进行通话,费用十分经济:长途通话费(除港澳台地区外)每分钟仅收0.1元,这样的通话成本相当划算。参照图中信息,那个-0.1元的数额,是用户拨打电话时,产生的费用支出。
充值软件一个完整交易的应用过程
这个软件为公交一卡通进行充值,整个操作流程看起来十分规范,我们几乎发现不了任何疑点。在充值环节的最后阶段,使用者需要键入支付宝账号专属的验证密码,这样就能最终确认并完成这笔交易。
支付宝账户无法清除 是否会存在安全隐患?
我们初次注意到的情况是,当客户利用个人手机号获取验证码登录充值系统时,账户会自动创建,用户一旦首次进入支付宝平台,应用便认定该支付途径已被选定。但是关键点并非于此,关键点在于,在支付宝的个人信息选项里开元棋官方正版下载,我们完全看不到任何移除已登录支付宝账号的选项,只能通过使用其他支付宝账号来登录。
为了探明潜在风险,作者尝试了若干操作,目的是检查软件是否存在账号信息保存的情况,进而看能否清除当前登录的账号。
软件首先被移除,随后重新安装完成,但账号资料依旧留存;换用不同的手机号进行登录,同时借助其他交通卡执行操作,账号依然有效;当安卓系统执行复原操作后,再次安装该软件,只要成功登录,并在进行充值业务时,所呈现的支付宝账号信息始终是初次登录时所使用的账号。
这样会有什么安全隐患?
支付宝账号不能清除,表明配备NFC感应功能的软件应用,注定无法在公共场合进行交通卡充值,而且个人账号的隐私安全必定会遭受威胁,再者,倘若支付宝支付密码不幸外泄,所带来的不良影响将非常严重,虽然该软件当前版本经历的迭代次数还不多,不过预计在后续版本中,此类问题应该能够获得妥善处理。
NFC售货机少 一卡通不记名成顾虑
如今,在机场、地铁站以及商场等客流量大的地方,常能见到自动售卖设备。这些售卖设备上,电子支付方式如支付宝、微信支付等逐渐增多,而现金支付方式,即使用纸币和硬币进行交易的情况,依然存在。
北京地铁中的自动售货机
然而kaiyun.ccm,每一种支付方式都对应的操作方式,其实也是不一样的。
支付宝支付在这些设备上的使用,包含扫码和声波支付方式;微信支付则仅支持扫码;第三种支付方式正是本文要说明的——利用NFC近场通信,具体是通过使用北京市政公交一卡通进行NFC刷卡来完成。
乘客使用手机或公交卡都可以进行购买
自动售货机中 畅销商品很快就卖完
NFC支付属于一种创新交易方式,主要优势在于支持近距离交互,消费者可使用公交卡进行支付,无需携带钱包,通过“感应卡或手机”即可在超市、餐馆、自动售卖机、地铁站等众多地点完成付款。每次交易的上限为300元,而电子现金账户的预存额度最高可达1000元。
部分自动售货机拥有一卡通NFC刷卡支付装置
NFC近场(通讯)支付方式所存在的问题
NFC近场支付确实很便捷,不过,对于服务供应商和消费者来说,都必须要付出一定的代价。
用户若想增设内置NFC功能的硬件,必须承担相应的芯片费用。采用外置在手机上的支付芯片(谷歌曾推出一种附加NFC功能的标签),这类方案存在易损和遗失的风险,尤其是遗失情况后果相当严重。
一卡通当前属于非实名制的预付卡,用户充值后,倘若卡片遗失,且未进行任何身份核实,持卡人无法将其停用,因此账户内的资金将无法追回。
NFC近场支付的未来
依靠公交一卡通进行的NFC支付,显然存在不少限制。但据了解,NFC业务相关人士表示,当前具备NFC支付功能的手机已有五种,预计到年底时将增至将近二十种。对新产品感兴趣的人,无需前往服务点,可以直接在移动公司展示区免费更换NFC专用SIM卡。中国移动已同众多国家级及区域级金融机构,以及六十万家实体店铺达成合作意向,此举旨在强化无接触式短距离支付的推广力度。
设备完善服务到位,今后不论使用手机,抑或借助专用NFC卡,交易都将落实实名制,广大用户可及时有效保障个人财产安全。
NFC门禁:空白卡复制NFC卡带来威胁
涉及支付环节之外,硬件软件引发的安全风险也不容忽视。日常环境中,比如居民楼门禁系统、机关团体及企业办公场所的出入控制装置等,都与NFC无线感应识别技术息息相关,尽管门禁应用中,与软件平台的交互程度相对较低。
带有NFC识别技术的门禁卡片
近场通信技术可用于门禁系统,该技术标准支持厘米级范围内设备间的信息传递。它严格遵循ISO关于非接触式智能卡的管理规范,这一特性使其成为理想应用场景的重要优势。未来某段时间,除了常规的NFC卡片,人们还能用配备NFC功能的手机来携带个人身份证明文件,这种文件是便携式的,读卡设备能通过无线手段读取手机里的信息,用户只需把手机展示在读卡设备附近,门就能被打开。
NFC门禁刷卡处
网上大量所谓的NFC门禁卡以及空白卡
NFC门禁卡现在广泛安装在小区和住宅楼单元门上。物业部门发放的这类卡片,常常受到一些外部NFC仿冒卡的干扰。借助某些第三方技术手段,将空白NFC卡片进行复制和写入数据,就能迅速得到一张功能和物业发放的卡片完全一样的门禁卡。
假设在居民社区中,入口、楼栋口乃至家庭入口的门禁卡遭到恶意仿制,那么该社区住户的安全就会面临风险。
未来:NFC相关软硬件安全方案设想
保证NFC作为移动支付手段支付的安全
必须确保发卡环节的可靠性。当前电信服务提供商和银联组织运用可信服务管理机制,能够将金融账户资料安全地传送至移动通信卡的芯片上。这种安全防护措施依托于物理设备层面的技术支持。NFC手机运用SE芯片硬件加密和软件加密相结合的技术,数据传递仅需不到0.1秒,ID与密钥等信息就能迅速完成传输,黑客在这样高效的交换过程中,想要截获并破解无线电信号的难度极大。
硬件加密
接下来,在付款环节,手机NFC的验证运用了中央处理器加密方案,这项保障措施同金融机构发行的集成电路卡一样可靠。此外,手机NFC付款涵盖线上交易和线下交易两种模式。银联机构已经清晰界定了线下交易部分,也就是手机支付工具的最高存储额度为1000元,这种制度性安排也有效控制了手机NFC交易可能存在的安全隐患。所以,从长远角度分析,硬件领域的技术进步,能够有效修正文中已指出的若干安全风险。
从软件层面保证应用的安全运作
e乐充公交
NFC技术融合的各类应用持续迭代升级,软件版本不断优化,产品设计水平逐步提升,具备扎实技术能力的开发者,将创造出更加卓越的NFC相关软件作品。根据前文探讨,当前市面上多数同类产品主要存在软件架构上的某些不足,这些不足在后续版本迭代中,都能够比较容易地得到修正和完善。在那个时候,NFC相关软件的运行安全将获得进一步增强。
NFC门禁卡安全解决思路
NFC虚拟凭证卡的基础形式就是模仿当前卡片的通行规则。手机把身份资料发给感应器,感应器再转给既有的门禁装置,最终实现开门。
无需借助钥匙或智能卡,就能实现更安全、更方便的凭证卡安全参数配置、监控和调整,不仅杜绝了凭证卡被复制的可能性,还可以在紧急情况下临时发放凭证卡,一旦遗失或被盗还能立即作废该卡。
最新智能卡技术进步,让公司得以把出入管理与电脑账户验证合并在一个身份认证系统里,以此保障场所、职员及财物安全。这种能覆盖多种用途的出入控制方式,既适用于常规的证件和读卡设备,也适用于手机等移动装置。这些手机借助无线近场通信技术,能够读取和展示先前存储在非接触式智能卡里的电子凭证,用以完成开门、电子支付以及安全获取信息等功能。
