近日，中國(guó)移動(dòng)與中國(guó)銀聯(lián)正式推出NFC支付服務(wù)，NFC支付概念正式走進(jìn)國(guó)人生活。與此同時(shí)支付帶來(lái)的安全顧慮也成為了人們關(guān)注的焦點(diǎn)。本次移動(dòng)支付網(wǎng)將從事件、觀點(diǎn)、流程等方面剖析NFC支付安全問(wèn)題。
　　
　　NFC破解事件和POS模擬
　　
　　在6月初，一條英國(guó)的盜刷新聞引爆了業(yè)界的討論，據(jù)英媒報(bào)道，只要將手機(jī)在近距離處輕輕一掃，就可以在幾秒鐘內(nèi)完成對(duì)銀行卡基本信息的讀取。讀取后的信息可以用在網(wǎng)絡(luò)購(gòu)物上，還可以用來(lái)回答銀行所設(shè)的安全問(wèn)題。據(jù)統(tǒng)計(jì)，英國(guó)近3000萬(wàn)個(gè)非接觸式銀行卡正遭受這樣的威脅。而制造盜刷的成本只需要30英鎊上網(wǎng)購(gòu)買竊取軟件，并將帶有NFC功能的手機(jī)稍加改良，即可進(jìn)行盜刷活動(dòng)。但實(shí)際上，如果銀行卡個(gè)人化企業(yè)或者銀行在向卡片中寫入個(gè)人化信息時(shí)，進(jìn)行相應(yīng)的敏感信息加密存儲(chǔ)的話，即使手機(jī)終端能夠讀取到相應(yīng)的銀行卡信息，也于卡號(hào)。對(duì)于完成一筆交易需要的其它信息，如*號(hào)，有效期，CVN等來(lái)說(shuō)，仍然是無(wú)法獲取的。也就這些被讀取的信息實(shí)際上不足夠完成一筆交易。國(guó)內(nèi)銀行卡不同發(fā)卡方，可讀取的公開信息不同，某支付界人士向移動(dòng)支付網(wǎng)透露：“比如A銀行的卡片，用NFC軟件讀取，只能讀到卡號(hào)信息;但是B銀行的卡片還能讀到*號(hào)，這說(shuō)明B銀行卡片的安全性要弱于招商銀行的。”
　　而在2012年的美國(guó)，兩名研究人員也發(fā)現(xiàn)了NFC支付嚴(yán)重的安全漏洞，破解之后可以免費(fèi)乘坐地鐵，破解的原理在于，當(dāng)卡里的余額到達(dá)零點(diǎn)時(shí)，這個(gè)叫做UltraReset的應(yīng)用可以重新寫入新的余額數(shù)字，并“告訴”系統(tǒng)卡里還有錢。研究人員透露，NFC卡本身具有只讀保護(hù)，但交通系統(tǒng)則沒有設(shè)置該安全保護(hù)層，這就讓破解程序有了可乘之機(jī)。這項(xiàng)破解實(shí)驗(yàn)對(duì)于倫敦的地下鐵將沒有效果，因?yàn)楫?dāng)?shù)氐慕煌ㄏ到y(tǒng)對(duì)NFC卡使用了更*的加密方式。交通公司對(duì)系統(tǒng)管理和升級(jí)不到位，造成了本次的漏洞。對(duì)于NFC支付，TSM管理的重要性也在此突顯。對(duì)此，NFCforum方面也曾作出解釋，這是當(dāng)?shù)氐罔F公司的協(xié)議問(wèn)題，而不是NFC本身技術(shù)缺陷。對(duì)于美國(guó)交通系統(tǒng)沒有設(shè)置安全保護(hù)層的問(wèn)題，國(guó)內(nèi)從業(yè)人士向移動(dòng)支付網(wǎng)透露，沒設(shè)置的原因是可能是因?yàn)榻煌▽?duì)于通過(guò)閘機(jī)的速度是有要求的，過(guò)多的考慮安全性，就會(huì)影響交易的速度。
　　
　　前兩個(gè)事件屬于非*性的破解改造，而移動(dòng)支付網(wǎng)zui近報(bào)道的葡萄牙技術(shù)公司Morpho近期則試點(diǎn)，利用NFC手機(jī)改造成移動(dòng)POS進(jìn)行收單，而參與者不乏運(yùn)營(yíng)商和信用卡及清算*萬(wàn)事達(dá)和Visa。具體的方案尚沒有公布，但是通過(guò)NFC手機(jī)改造進(jìn)行移動(dòng)POS收單是可以實(shí)現(xiàn)的。目前有不少NFC手機(jī)的都在設(shè)想將NFC手機(jī)模擬成一部POS機(jī)，但這種模擬會(huì)導(dǎo)致POS機(jī)的數(shù)量大大增加，對(duì)于卡組織來(lái)說(shuō)，對(duì)于傳統(tǒng)的POS機(jī)，風(fēng)險(xiǎn)是可控的，但如果大量的手機(jī)終端涌入市場(chǎng)，風(fēng)險(xiǎn)將更不可控，目前尚未看到各家卡組織對(duì)于此種方案的意見。
　　
　　業(yè)內(nèi)人對(duì)盜刷的看法
　　
　　業(yè)內(nèi)人士提出幾點(diǎn)NFC盜刷的情況，首先使用NFC手機(jī)獲取非接卡片的非加密信息，并將此信息通過(guò)偽卡交易消費(fèi)。其次是用NFC手機(jī)改造為POS終端，對(duì)非接觸卡進(jìn)行交易，這種情況類似于將葡萄牙的NFC手機(jī)改裝成POS，進(jìn)行盜刷。
　　
　　這兩種情況屬于邏輯出錯(cuò)，可以通過(guò)更完善的管理和規(guī)范進(jìn)行修復(fù)，一般情況下，非加密信息即使被盜取，也不能通過(guò)制造偽卡來(lái)實(shí)現(xiàn)盜刷，如果一旦情況出現(xiàn)，那么將是大規(guī)模的漏洞，需要修改規(guī)范來(lái)防止。
　　
　　另外，技術(shù)上也有一定的解決方案，比如現(xiàn)有的機(jī)制下，一般是終端在交易時(shí)會(huì)去校驗(yàn)卡片的合法性，對(duì)于非法的卡片，終端會(huì)拒絕交易。那么可以增加雙向校驗(yàn)的機(jī)制，也即增加卡片對(duì)終端的校驗(yàn)，對(duì)于非法終端發(fā)起的交易請(qǐng)求，卡片自身也可以拒絕。但這種方案對(duì)于卡片和終端的運(yùn)算速度有著更高的要求。同時(shí)，對(duì)于這種方式的效果在業(yè)界也一直有爭(zhēng)議，一方面的觀點(diǎn)認(rèn)為盜刷實(shí)際上是一個(gè)非常小概率的事件，另一方面技術(shù)手段的提升會(huì)導(dǎo)致終端和卡片都需要進(jìn)行更多的改造。各方需要承擔(dān)更多的改造成本。
　　
　　就POS終端而言，從卡片上扣取金額僅僅是*個(gè)步驟，如果無(wú)法獲得盜刷的金額，對(duì)于盜刷者來(lái)說(shuō)也是徒勞的。某從業(yè)者在接受移動(dòng)支付網(wǎng)采訪時(shí)介紹：“在清算的時(shí)候，只有合法的終端系統(tǒng)才會(huì)進(jìn)行清算，也就是在收單行有登記的終端。那么對(duì)于非法終端來(lái)說(shuō)，雖然獲取了交易資金，但是因?yàn)闆]辦法清算，拿不到錢，也是徒勞的。”此外，卡組織對(duì)于非接觸式交易終端請(qǐng)款時(shí)效均有一定要求，支付界人士向移動(dòng)支付網(wǎng)透露：“目前銀聯(lián)規(guī)定為20天，也即發(fā)生交易后20天內(nèi)，如果收單行不去向銀聯(lián)和發(fā)卡行索要這筆交易的資金的話，收單行將失去后續(xù)再請(qǐng)款的機(jī)會(huì)。因此，如果持卡人對(duì)卡片上交易的紀(jì)錄有異議，可以向發(fā)卡行提出申訴，發(fā)卡行可以根據(jù)卡片交易的情況，還原出當(dāng)時(shí)的卡片金額。”對(duì)于不能獲利的盜刷來(lái)說(shuō)，只能將其當(dāng)作惡作劇來(lái)看了。
　　
　　與此同時(shí)，也有人指出，使用合法的移動(dòng)POS進(jìn)行非接觸盜刷，如在擁擠情況下，如何防范。理論上此類盜刷可以存在，但是移動(dòng)POS靈敏度較低，如要盜刷操作難度大。業(yè)內(nèi)人士指出：“即使在正規(guī)場(chǎng)所的POS刷卡位置上，卡稍微放偏，交易便會(huì)失敗，同時(shí)金融非接觸卡片交易所需要的時(shí)間要長(zhǎng)于普通的公交卡片，也就需要把卡片在終端上放置更長(zhǎng)的時(shí)間才能*交易。那么在非*場(chǎng)所，非接觸卡被盜刷是非常難的。”同時(shí)這也引出一個(gè)問(wèn)題，合法POS要做的好用，那么不怎么對(duì)準(zhǔn)也可以識(shí)別，但是越好用就意味著POS越容易盜刷，這更多的還是需要加強(qiáng)POS的管理，需要POS機(jī)的布放方采取更嚴(yán)格的終端管理機(jī)制。
　　
　　面對(duì)英國(guó)的大范圍盜刷可能，首先應(yīng)該修改規(guī)范，規(guī)定哪些信息可以從非接觸式界面讀取，不然這將比磁條卡更好截取信息。其次POS擁有終端安全機(jī)制，如PSAM或者銀行發(fā)的SE，手機(jī)沒有，通過(guò)手機(jī)進(jìn)行盜刷問(wèn)題不大;而zui后一個(gè)問(wèn)題，還需要各運(yùn)營(yíng)組織（如Visa、萬(wàn)事達(dá)、銀聯(lián)或者公交公司等）加強(qiáng)對(duì)POS的管理，對(duì)于NFC技術(shù)本身，原本就是短距離通信，在距離上較難實(shí)現(xiàn)盜刷。市場(chǎng)中也有出現(xiàn)鋁箔片卡套之類的產(chǎn)品，防范此類盜刷，因?yàn)镹FC技術(shù)是無(wú)法穿透金屬的，這也是2.4G與13.56MHz的其中一個(gè)爭(zhēng)議點(diǎn)，如果2.4G大規(guī)模應(yīng)用，那么金屬套也無(wú)法防范盜刷。而管理成本和盜刷風(fēng)險(xiǎn)之間的權(quán)衡也是所有運(yùn)營(yíng)組織需要思考的。
　　
　　對(duì)于英國(guó)的盜刷問(wèn)題，南京理工大學(xué)計(jì)算機(jī)學(xué)院副教授邵通認(rèn)為：“這是英國(guó)卡在網(wǎng)絡(luò)使用的安全性問(wèn)題，中國(guó)沒有這個(gè)問(wèn)題，但是手機(jī)病毒通過(guò)NFC把用戶的卡號(hào)（NFC）+密碼（病毒竊取手機(jī)輸入），那么磁條卡類型就麻煩了，另外手機(jī)病毒竊取手機(jī)短信，由可以盜竊卡號(hào)+短信的支付。”
　　
　　而對(duì)于葡萄牙的NFC智能手機(jī)改裝成POS機(jī)的方案，其重點(diǎn)在于，智能手機(jī)只不過(guò)是一個(gè)信息的接收和處理工具，支付的安全信息需要聯(lián)網(wǎng)確認(rèn)，支付信息的處理需要PSAM卡之類的安全保障，該方案的機(jī)座對(duì)NFC支付的安全起著至關(guān)重要的作用，而手機(jī)本身，則是整個(gè)支付的信息接收和處理“*”，把握支付關(guān)鍵點(diǎn)的仍然是統(tǒng)一清算機(jī)構(gòu)發(fā)放的安全證書，如PSAM卡。邵通還認(rèn)為：“不僅需要PSAM，而且必須保證手機(jī)的操作系統(tǒng)是安全的，否則可以進(jìn)行交易金額的篡改。也許只是搗亂，如果手機(jī)的被改造，還可以進(jìn)行收單賬戶的篡改，假冒PSAM。”
　　
　　移動(dòng)支付未來(lái)的趨勢(shì)是3A（AnytimeAnywhereAnyhow）支付，問(wèn)題也正在于此，3A支付是POS無(wú)處不在，不是卡無(wú)處不在。如何管控好POS是需要長(zhǎng)期摸索的問(wèn)題，無(wú)論是從技術(shù)還是管理。
　　
　　zui強(qiáng)病毒與SE
　　
　　作為*zui大的手機(jī)系統(tǒng)，安卓系統(tǒng)的開放性讓各大手機(jī)OEM商紛紛入駐，但是開放的同時(shí)，其安全性也隨之降低。今年6月初，安卓平臺(tái)出現(xiàn)了非常強(qiáng)大的病毒，利用安卓漏洞取得設(shè)備的管理權(quán)，并且無(wú)法卸載，更可怕的是，該病毒可以通過(guò)云端指令發(fā)送定制業(yè)務(wù)短信，然后屏蔽運(yùn)營(yíng)商回執(zhí)，從而實(shí)施惡意扣費(fèi)。業(yè)內(nèi)人士調(diào)侃，“這或許是哪個(gè)虧本的運(yùn)營(yíng)商研究的病毒。”該病毒對(duì)用戶zui大威脅就是涉及支付。短信支付在病毒的肆虐下，變得毫無(wú)安全可言，那么進(jìn)一步猜想，如果某病毒控制NFC手機(jī)，那么NFC支付是否會(huì)變得危險(xiǎn)?
　　
　　也有人提出，安全的手機(jī)支付，必須假設(shè)手機(jī)就是黑客制造，操作系統(tǒng)也是黑客全控。就是說(shuō)手機(jī)持有人的任何在手機(jī)上的動(dòng)作，黑客都能模仿，所有輸入數(shù)據(jù)都能重輸（重放攻擊），在這個(gè)情況之下，添加NFC支付，能夠識(shí)別危險(xiǎn)，或者避免危險(xiǎn)，完成安全的支付，那么這才是真正的安全。
　　
　　NFC支付就需要關(guān)乎SE安全元件的問(wèn)題，承載NFC支付虛擬應(yīng)用的電子錢包，其信息是儲(chǔ)存于SE安全元件當(dāng)中，即使手機(jī)中毒，SE安全元件仍然可以保障支付的安全，業(yè)內(nèi)專家表示，“電子錢包信息與手機(jī)基帶芯片不交換，除非OS（操作系統(tǒng)）可以讀取SIM的所有信息，并復(fù)制SIM，否則這不可能。”*，SIM卡是的，那這就杜絕了OS中毒，致使NFC支付出現(xiàn)威脅的情況，SE安全元件對(duì)電子錢包信息的保護(hù)發(fā)揮著至關(guān)重要的作用，這也是運(yùn)營(yíng)商、銀行、手機(jī)OEM對(duì)SE安全元件利益爭(zhēng)奪的重要原因。
　　
　　病毒手機(jī)不能給NFC支付帶來(lái)威脅，但是若是SE安全元件被破解呢?SE安全元件主要為防止外部惡意解析攻擊，保護(hù)數(shù)據(jù)安全，在芯片中具有加密/解密邏輯電路。而SE一般在TSM的控制之下，只有獲得TSM安全域的控制權(quán)，才能夠下載和安裝卡上應(yīng)用。獲得安全域的控制權(quán)，從而影響NFC支付的正常，是不太可能的。
　　
　　NFC安全分析
　　
　　對(duì)于NFC安全仍然要回歸其基本的三大功能，卡模擬、讀寫、點(diǎn)對(duì)點(diǎn)交互。而功能之下，技術(shù)上都是通過(guò)頻段進(jìn)行數(shù)據(jù)傳輸，在傳輸過(guò)程，近場(chǎng)通訊安全可能遭到破壞的方式可分為四種：竊聽、數(shù)據(jù)破壞、數(shù)據(jù)篡改、中間人攻擊。
　　前三種攻擊方式，所需要的技術(shù)能力較強(qiáng)，危險(xiǎn)不大。有安全分析師表示一些針對(duì)NFC手機(jī)的仿冒和欺騙攻擊已經(jīng)是事實(shí)，NFC數(shù)據(jù)安全zui讓人憂慮的是“中間人攻擊”，通過(guò)在一臺(tái)手機(jī)上插入某種形式的間諜軟件或惡意軟件，達(dá)到再感染其它手機(jī)，這樣一來(lái)竊取用戶的數(shù)據(jù)。而現(xiàn)在的反病毒軟件和操作系統(tǒng)架構(gòu)，控制著應(yīng)用程序之間的信息流，這樣就提供了重要的保障措施，到達(dá)減輕這類攻擊的效果,另外，智能手機(jī)、制造商和無(wú)線運(yùn)營(yíng)商還有著強(qiáng)大的加密手段和認(rèn)證協(xié)議，這也是以確保NFC移動(dòng)支付安全一個(gè)重要手段。不過(guò)前提是協(xié)議無(wú)漏洞，實(shí)現(xiàn)無(wú)BUG。
　　
　　總述，對(duì)于NFC盜刷問(wèn)題，通過(guò)合法POS在非授信環(huán)境中的盜刷，難以防范，但是由于通信距離近，而且成功率較差，被盜刷風(fēng)險(xiǎn)存在，但是難度大。而通過(guò)改造NFC手機(jī)進(jìn)行盜刷，需要清算機(jī)構(gòu)和POS管理方的規(guī)范管理。對(duì)于NFC支付安全而言，TSM平臺(tái)和SE的結(jié)合至關(guān)重要，是保障支付安全的核心所在。移動(dòng)支付網(wǎng)了解到，TSM和SE是密碼領(lǐng)域從76年（“密碼學(xué)的新方向”）就開始研究關(guān)注的問(wèn)題，84年后又陸續(xù)進(jìn)入實(shí)際操作，中國(guó)CA中心的建立也有一段一哄而上的歷史，在安全上，TSM與SE結(jié)合本身沒問(wèn)題。而其他安全問(wèn)題，隨著NFC移動(dòng)支付的發(fā)展，也將會(huì)逐漸變得可靠，成熟，讓人們易于接受，造福人們生活。

        來(lái)源：移動(dòng)支付網(wǎng) 
 
        作者：慕楚