近日,中國移動與中國銀聯正式推出NFC支付服務,NFC支付概念正式走進國人生活。與此同時支付帶來的安全顧慮也成為了人們關注的焦點。本次移動支付網將從事件、觀點、流程等方面剖析NFC支付安全問題。
NFC破解事件和POS模擬
在6月初,一條英國的盜刷新聞引爆了業界的討論,據英媒報道,只要將手機在近距離處輕輕一掃,就可以在幾秒鐘內完成對銀行卡基本信息的讀取。讀取后的信息可以用在網絡購物上,還可以用來回答銀行所設的安全問題。據統計,英國近3000萬個非接觸式銀行卡正遭受這樣的威脅。而制造盜刷的成本只需要30英鎊上網購買竊取軟件,并將帶有NFC功能的手機稍加改良,即可進行盜刷活動。但實際上,如果銀行卡個人化企業或者銀行在向卡片中寫入個人化信息時,進行相應的敏感信息加密存儲的話,即使手機終端能夠讀取到相應的銀行卡信息,也僅限于卡號。對于完成一筆交易需要的其它信息,如身份證號,有效期,CVN等來說,仍然是無法獲取的。也就這些被讀取的信息實際上不足夠完成一筆交易。國內銀行卡不同發卡方,可讀取的公開信息不同,某支付界人士向移動支付網透露:“比如A銀行的卡片,用NFC軟件讀取,只能讀到卡號信息;但是B銀行的卡片還能讀到身份證號,這說明B銀行卡片的安全性要弱于招商銀行的。”
而在2012年的美國,兩名研究人員也發現了NFC支付嚴重的安全漏洞,破解之后可以免費乘坐地鐵,破解的原理在于,當卡里的余額到達零點時,這個叫做UltraReset的應用可以重新寫入新的余額數字,并“告訴”系統卡里還有錢。研究人員透露,NFC卡本身具有只讀保護,但交通系統則沒有設置該安全保護層,這就讓破解程序有了可乘之機。這項破解實驗對于倫敦的地下鐵將沒有效果,因為當地的交通系統對NFC卡使用了更先進的加密方式。交通公司對系統管理和升級不到位,造成了本次的漏洞。對于NFC支付,TSM管理的重要性也在此突顯。對此,NFCforum方面也曾作出解釋,這是當地地鐵公司的協議問題,而不是NFC本身技術缺陷。對于美國交通系統沒有設置安全保護層的問題,國內從業人士向移動支付網透露,沒設置的原因是可能是因為交通卡對于通過閘機的速度是有要求的,過多的考慮安全性,就會影響交易的速度。
前兩個事件屬于非官方性的破解改造,而移動支付網最近報道的葡萄牙技術公司Morpho近期則試點,利用NFC手機改造成移動POS進行收單,而參與者不乏運營商和信用卡及清算巨頭萬事達和Visa。具體的方案尚沒有公布,但是通過NFC手機改造進行移動POS收單是可以實現的。目前有不少NFC手機的開發者都在設想將NFC手機模擬成一部POS機,但這種模擬會導致POS機的數量大大增加,對于卡組織來說,對于傳統的POS機,風險是可控的,但如果大量的手機終端涌入市場,風險將更不可控,目前尚未看到國際各家卡組織對于此種方案的意見。
業內人對盜刷的看法
業內人士提出幾點NFC盜刷的情況,首先使用NFC手機獲取非接卡片的非加密信息,并將此信息通過偽卡交易消費。其次是用NFC手機改造為POS終端,對非接觸卡進行交易,這種情況類似于將葡萄牙的NFC手機改裝成POS,進行盜刷。
這兩種情況屬于邏輯出錯,可以通過更完善的管理和規范進行修復,一般情況下,非加密信息即使被盜取,也不能通過制造偽卡來實現盜刷,如果一旦情況出現,那么將是大規模的漏洞,需要修改規范來防止。
另外,技術上也有一定的解決方案,比如現有的機制下,一般是終端在交易時會去校驗卡片的合法性,對于非法的卡片,終端會拒絕交易。那么可以增加雙向校驗的機制,也即增加卡片對終端的校驗,對于非法終端發起的交易請求,卡片自身也可以拒絕。但這種方案對于卡片和終端的運算速度有著更高的要求。同時,對于這種方式的效果在業界也一直有爭議,一方面的觀點認為盜刷實際上是一個非常小概率的事件,另一方面技術手段的提升會導致終端和卡片都需要進行更多的改造。各方需要承擔更多的改造成本。
就POS終端而言,從卡片上扣取金額僅僅是第一個步驟,如果無法獲得盜刷的金額,對于盜刷者來說也是徒勞的。某從業者在接受移動支付網采訪時介紹:“在清算的時候,只有合法的終端系統才會進行清算,也就是在收單行有登記的終端。那么對于非法終端來說,雖然獲取了交易資金,但是因為沒辦法清算,拿不到錢,也是徒勞的。”此外,國際卡組織對于非接觸式交易終端請款時效均有一定要求,支付界人士向移動支付網透露:“目前銀聯規定為20天,也即發生交易后20天內,如果收單行不去向銀聯和發卡行索要這筆交易的資金的話,收單行將失去后續再請款的機會。因此,如果持卡人對卡片上交易的紀錄有異議,可以向發卡行提出申訴,發卡行可以根據卡片交易的情況,還原出當時的卡片金額。”對于不能獲利的盜刷來說,只能將其當作惡作劇來看了。
與此同時,也有人指出,使用合法的移動POS進行非接觸盜刷,如在擁擠情況下,如何防范。理論上此類盜刷可以存在,但是移動POS靈敏度較低,如要盜刷操作難度大。業內人士指出:“即使在正規場所的POS刷卡位置上,卡稍微放偏,交易便會失敗,同時金融非接觸卡片交易所需要的時間要長于普通的公交卡片,也就需要把卡片在終端上放置更長的時間才能完全交易。那么在非授權場所,非接觸卡被盜刷是非常難的。”同時這也引出一個問題,合法POS要做的好用,那么不怎么對準也可以識別,但是越好用就意味著POS越容易盜刷,這更多的還是需要加強POS的管理,需要POS機的布放方采取更嚴格的終端管理機制。
面對英國的大范圍盜刷可能,首先應該修改規范,規定哪些信息可以從非接觸式界面讀取,不然這將比磁條卡更好截取信息。其次POS擁有終端安全機制,如PSAM或者銀行發的SE,手機沒有,通過手機進行盜刷問題不大;而最后一個問題,還需要各運營組織(如Visa、萬事達、銀聯或者公交公司等)加強對POS的管理,對于NFC技術本身,原本就是短距離通信,在距離上較難實現盜刷。市場中也有出現鋁箔片卡套之類的產品,防范此類盜刷,因為NFC技術是無法穿透金屬的,這也是2.4G與13.56MHz的其中一個爭議點,如果2.4G大規模應用,那么金屬套也無法防范盜刷。而管理成本和盜刷風險之間的權衡也是所有運營組織需要思考的。
對于英國的盜刷問題,南京理工大學計算機學院副教授邵通認為:“這是英國卡在網絡使用的安全性問題,中國沒有這個問題,但是手機病毒通過NFC把用戶的卡號(NFC)+密碼(病毒竊取手機輸入),那么磁條卡類型就麻煩了,另外手機病毒竊取手機短信,由可以盜竊卡號+短信的支付。”
而對于葡萄牙的NFC智能手機改裝成POS機的方案,其重點在于,智能手機只不過是一個信息的接收和處理工具,支付的安全信息需要聯網確認,支付信息的處理需要PSAM卡之類的安全保障,該方案的機座對NFC支付的安全起著至關重要的作用,而手機本身,則是整個支付的信息接收和處理“傀儡”,把握支付關鍵點的仍然是統一清算機構發放的安全證書,如PSAM卡。邵通還認為:“不僅需要PSAM,而且必須保證手機的操作系統是安全的,否則可以進行交易金額的篡改。也許只是搗亂,如果手機的被改造,還可以進行收單賬戶的篡改,假冒PSAM。”
移動支付未來的趨勢是3A(AnytimeAnywhereAnyhow)支付,問題也正在于此,3A支付是POS無處不在,不是卡無處不在。如何管控好POS是需要長期摸索的問題,無論是從技術還是管理。
最強病毒與SE
作為市場占有率最大的手機系統,安卓系統的開放性讓各大手機OEM商紛紛入駐,但是開放的同時,其安全性也隨之降低。今年6月初,安卓平臺出現了非常強大的病毒,利用安卓漏洞取得設備的管理權,并且無法卸載,更可怕的是,該病毒可以通過云端指令發送定制業務短信,然后屏蔽運營商回執,從而實施惡意扣費。業內人士調侃,“這或許是哪個虧本的運營商研究的病毒。”該病毒對用戶最大威脅就是涉及支付。短信支付在病毒的肆虐下,變得毫無安全可言,那么進一步猜想,如果某病毒控制NFC手機,那么NFC支付是否會變得危險?
也有人提出,安全的手機支付,必須假設手機就是黑客制造,操作系統也是黑客全控。就是說手機持有人的任何在手機上的動作,黑客都能模仿,所有輸入數據都能重輸(重放攻擊),在這個情況之下,添加NFC支付,能夠識別危險,或者避免危險,完成安全的支付,那么這才是真正的安全。
NFC支付就需要關乎SE安全元件的問題,承載NFC支付虛擬應用的電子錢包,其信息是儲存于SE安全元件當中,即使手機中毒,SE安全元件仍然可以保障支付的安全,業內專家表示,“電子錢包信息與手機基帶芯片不交換,除非OS(操作系統)可以讀取SIM的所有信息,并復制SIM,否則這不可能。”眾所周知,SIM卡是不可復制的,那這就杜絕了OS中毒,致使NFC支付出現威脅的情況,SE安全元件對電子錢包信息的保護發揮著至關重要的作用,這也是運營商、銀行、手機OEM對SE安全元件利益爭奪的重要原因。
病毒手機不能給NFC支付帶來威脅,但是若是SE安全元件被破解呢?SE安全元件主要為防止外部惡意解析攻擊,保護數據安全,在芯片中具有加密/解密邏輯電路。而SE一般在TSM的控制之下,只有獲得TSM安全域的控制權,才能夠下載和安裝卡上應用。獲得安全域的控制權,從而影響NFC支付的正常,是不太可能的。
NFC安全分析
對于NFC安全仍然要回歸其基本的三大功能,卡模擬、讀寫、點對點交互。而功能之下,技術上都是通過頻段進行數據傳輸,在傳輸過程,近場通訊安全可能遭到破壞的方式可分為四種:竊聽、數據破壞、數據篡改、中間人攻擊。
前三種攻擊方式,所需要的技術能力較強,危險不大。有安全分析師表示一些針對NFC手機的仿冒和欺騙攻擊已經是事實,NFC數據安全最讓人憂慮的是“中間人攻擊”,通過在一臺手機上插入某種形式的間諜軟件或惡意軟件,達到再感染其它手機,這樣一來竊取用戶的數據。而現在的反病毒軟件和操作系統架構,控制著應用程序之間的信息流,這樣就提供了重要的保障措施,到達減輕這類攻擊的效果,另外,智能手機、制造商和無線運營商還有著強大的加密手段和認證協議,這也是以確保NFC移動支付安全一個重要手段。不過前提是協議無漏洞,實現無BUG。
總述,對于NFC盜刷問題,通過合法POS在非授信環境中的盜刷,難以防范,但是由于通信距離近,而且成功率較差,被盜刷風險存在,但是難度大。而通過改造NFC手機進行盜刷,需要清算機構和POS管理方的規范管理。對于NFC支付安全而言,TSM平臺和SE的結合至關重要,是保障支付安全的核心所在。移動支付網了解到,TSM和SE是密碼領域從76年(“密碼學的新方向”)就開始研究關注的問題,84年后又陸續進入實際操作,中國CA中心的建立也有一段一哄而上的歷史,在安全上,TSM與SE結合本身沒問題。而其他安全問題,隨著NFC移動支付的發展,也將會逐漸變得可靠,成熟,讓人們易于接受,造福人們生活。
京公網安備 11010502049343號