苹果“后门事件”、安卓“签名漏洞”,掌上信息安全持续引发公众关注。近日,又有多名读者向本报反映,自己的手机有了“读芯术”,不用密码,也不用验证,只要手机轻轻贴上芯片银行卡,就能轻松读取卡内的基本信息和最近10笔的交易记录。
通过实验与采访银行和手机安全专家,记者证实包括三星、HTC、小米在内的部分安卓手机确有这样的“神奇”——只要开通NFC功能,装上支付宝钱包,就变身为“查账神器”。
iOS和安卓两大手机操作系统齐遭安全危机,智能手机带给我们的便利,真要牺牲隐私来交换吗?手机开发的红线,不应该是尊重和保护用户的信息安全吗?
手机一碰
曝光最近10笔交易明细
NFC(近场通信,NearFieldCommunication),简单来说,就是一种近距离无线通信功能,可以允许电子设备之间进行非接触式的点对点数据传输和交换。
“NFC一直被拿来与蓝牙做比较,如果说蓝牙是相亲大会,你站在一个满是姑娘的大厅里。那么NFC则是幽会,你只和离自己最近的那一个配对。”一名手机安全专家介绍,手机能够读取银行卡的“秘密”,在于装载NFC芯片的银行卡信息,被支持NFC功能的手机读取。
目前,三星主流手机都默认打开NFC功能,记者找来一款用户众多的三星Note2手机实验。打开支付宝钱包应用,将一张中国银行的芯片卡放在手机背面,“嘟”一声后,不到两秒钟,支付宝读取到银行卡的卡号后四位数、电子现金余额、最近10次交易记录。交易记录包含交易日期、时间和金额,过程中不需要输入任何密码。
而使用另一个相对冷门的应用NFCard软件,手机不仅能读出银行卡号,还能读出有效期、交易次数、单笔上限、圈存上限和电子现金额等。
不同银行卡读出的数据不同,记者用中国银行、交通银行、招商银行三张芯片卡,三张卡都能读出电子钱包余额和最近10笔交易金额,除此之外,交通银行能读出卡号后4位、而招商银行和中国银行则能读出全部卡号,招商银行卡还能读出身份证号的开头和末尾两位。
手机掌握“读芯术”,需要同时满足三个条件:手机开启了NFC功能(目前苹果手机不支持该功能,而主流的安卓系统手机大多支持,有些更是默认打开);手机里必须安装有支付宝钱包等支付平台;使用的银行卡必须是带有芯片的,而非传统的磁条卡。
除了银行卡之外,手机还能读取公交卡的信息。
放进钱包
银行卡信息很难“读”
手机“秒读”银行卡信息,很多人知情后大呼“太可怕”,“我的工资明细,手机比我老婆更清楚”。
更有人担心,自己放在钱包里的银行卡,是否会在挤公交车和地铁时,被人故意读取数据。“如果手机开着这个功能,在公交或地铁里贴近别人的钱包,别人银行卡里的信息不就全都泄露了?”“银行卡信息对个人来说是‘最高机密’,竟然无需任何门槛就能读出来,太不安全了。”在证券公司工作的小张说。
钱包里的银行卡是否安全?记者再次实验,将银行卡塞入钱包放进裤兜,然后将手机贴近,测试时变换了多种位置和角度,最后的结果是读取失败。不过,如果银行卡不是放在钱包而是放在更轻薄的卡包里,那么银行卡信息还是能轻易地被打开NFC的手机读取。
金山毒霸信息安全专家告诉记者,NFC的最大有效通信距离在4厘米左右,通常在2厘米左右。银行卡放在普通挎包或背包里,和外界的距离基本会超过NFC的有效通信距离。此外,和磁条卡的“刷卡”操作不同,手机在读银行卡信息的时候,需要和卡片保持相对不动。
专家释疑
只被“偷看”不会被偷
尽管NFC手机可以读取卡号和最近交易记录,但如果想要更进一步,目前还没能做到,不会对账户的资金造成风险。
记者实验的银行卡信息被读取后,虽然屏幕上显示可以“开通快捷支付”,但因开通快捷支付只支持实名账号与银行卡归属同一个人,因而该银行卡目前不会被别人的账号绑定。此外,银行卡余额或支付宝密码等都不能被读取,也不可能向外转账、支付。
记者从上海多家银行了解到,目前还没有接到过因为NFC功能带来安全问题的投诉。
不过,万一用户手机被植入病毒或木马,不法分子会利用NFC功能恶意读取银行卡信息。公安部治安管理局的官方微博“公安部打四黑除四害”近期也连续发出针对这一现象的消费提醒,并且提出了安全建议:
不少手机在购买后,NFC功能就是默认打开的,消费者在使用手机时,最好在第一时间关闭NFC功能,避免消费信息隐私暴露;
被读取信息,别担心资金盗刷。银行卡绑定快捷支付有前提,支付宝的账户姓名必须和银行卡持有人姓名一致,才能绑定;
妥善保管银行卡,NFC功能有严格的距离要求,银行卡芯片和手机之间的距离不能超过5厘米,而且NFC功能无法穿透金属物。
银行提醒
用户手动关闭NFC功能
记者随后拨打了中国银行、招商银行和工商银行三家的电话,得到的答复都是一样,“手机所读出的信息符合规范,银行卡内的资金仍然安全。”
何谓规范?一位业内人士告诉记者,金融IC卡的制作、通信协议、数据存储都是根据央行发布的《中国金融集成电路(IC)卡规范》执行的,安全方面已经做过充分考虑。将账号、交易记录写入金融IC卡是该规范定义的,有效期、CVV、交易密码等敏感信息,不会被写入到金融IC卡中。此外,将账号、交易记录等信息写入金融IC卡是可选的功能,由银行在发卡的时候决定是否开启这些功能。如果银行卡启用了这些功能,这些信息就可以被NFC手机读出来。
记者采访后了解,金融IC卡是一种比磁条卡更安全的银行卡,可以防止复制卡、伪造卡等引起的盗刷。目前,央行牵头,各银行正在逐步升级银行卡,新发的银行卡大部分已经带IC芯片。央行要求从2015年开始,新发的银行卡必须全部带IC芯片,磁条卡将逐步退出历史舞台。
此外,记者还联系到了支付宝的客服,对于NFC功能读取银行卡信息是否威胁个人信息安全的问题,对方称“还在检测中”,并且坦言,目前任何支持NFC的电子钱包手机软件都可显示出手机读取到的银行卡信息。
来源:新民晚报