芯片式银行卡疑泄露隐私 手机可扫出他人交易记录
来源:青岛早报 2014-06-12 07:46:00
你前天上午花449元在百盛买了条裙子,昨天下午在屈臣氏花了274元,昨天晚上在闽江路饭店吃饭花了352元,上午又去自动提款机上取了2000元钱。”同事刚刚表演的“手机读心术”让孙小姐惊奇不已,但随后就是一阵后怕,同事怎么对自己最近的消费如此清楚。同事看出了孙小姐的担心,随即揭开了谜底:他的手机开通了NFC手机近场支付功能,他了解的所有信息,只是用手机隔着钱包扫描了孙小姐刚刚换的一张芯片式银行卡。
同事“扫”出交易信息
“为什么他的手机能读我的卡,而且能把我的消费记录查得这么清楚,银行究竟是怎么帮我们这些储户保密的?”在香港中路一家外贸企业上班的孙小姐称,表演“手机读心术”的同事王先生刚刚买了新手机,他也是很偶然发现,自己的手机和钱包放在一起,手机就会发出嘀一声响,接着手机里的支付宝就会打开,然后就能看到手机屏幕上显示一个银行卡账号和10条最近的交易记录,他研究了半天才发现,被读取的是自己放在钱包最外层的一张新办的建行银行卡。“我后来才发现,我的手机不但能读我的卡,其他人的芯片式银行卡也都能被读取,我这才拿到单位来跟同事开玩笑。”王先生告诉记者。
没密码也能读隐私
王先生咨询了手机生产厂家,客服人员解释这是一种新开发的手机支付功能,称为NFC(近距离无线通讯技术),手机出厂时默认这种功能是打开的。不但是建设银行卡,工商银行、中国银行和交通银行等很多带着芯片的银行卡都能被读取,连乘车卡也可以被读取,但以前使用的那种磁条银行卡都不能识别,而且这种读取是受到距离限制的,稍微远一点就会读取不到。
“关键是这种读取手机信息是不需要任何密码的,谁拿着这种手机都能读取我的银行卡信息。”孙小姐称,银行卡号、发卡行、有效期以及最近的交易记录都是非常重要的个人隐私,不法之徒只要擦身而过,就可能用手机获取了这些银行卡信息,很可能会威胁银行卡的使用安全。
记者实验
1秒钟读出交易信息
这种所谓的手机NFC功能是否真有这么厉害。记者找了建设银行、工商银行和中国银行等多家银行的芯片银行卡做实验,并选取了两部新款有NFC功能的智能手机做实验。记者将建设银行卡放在其中一部手机背后,1秒钟后手机发出“嘀”一声响,但记者解锁屏幕后发现,因为没有安装相应的NFC读取软件,银行卡信息没有被读取出来。但记者换用另外一部有支付宝插件的手机时,手机屏幕自动跳转到支付宝界面,随即读取出了这张银行卡的发卡行、电子现金余额、使用次数等信息,卡号只显示最后四位数。不过,随便点开“开通快捷支付”或“转账到该账户”,原本部分隐匿的银行卡号就完全暴露出来。记者试图继续操作,但因实名认证后的支付宝只能与同一用户的银行卡开通快捷支付功能而未能进行。
记者还发现,页面上可以查看最近10笔交易记录,其中消费时间、地点、金额都一清二楚。记者的这张银行卡已经长时间没有使用,但手机还是成功读取出了记者在2013年10月到12月的10笔交易记录。这10笔交易记录均是刷卡或者自动提款机提现记录,网上银行交易记录看不出来。
隔钱包口袋也能读
记者发现,手机的NFC功能不仅能够读取银行卡,其他带有芯片的卡也能读取,比如记者的乘车卡和小区进门的门禁卡等也能被读出部分信息,甚至以后可以用手机上的支付宝直接为乘车卡充值。但手机的NFC功能只能在很近的距离完成,记者试着将多张芯片银行卡摆放在一起,或者将一张芯片银行卡摆在20厘米外,再次实验时手机就无法读取。此外记者发现即使将手机的WiFi和3G网络关闭,手机仍然可以读取银行卡,但如果打开手机“飞行模式”,则银行卡信息就会无法识别。
手机究竟能不能隔着钱包或者口袋读取银行卡信息呢?记者反复做了多次实验,发现直接将芯片银行卡放在口袋里,或者用报纸塑料布包起来,只要距离足够近,仍然可以读取。将芯片银行卡放在钱包里,如果有多张银行卡相互影响,或者钱包比较厚,手机读取就比较困难,但如果正巧将芯片银行卡放在钱包最外层,就可以被轻易读取。记者还发现,部分手机在读取银行卡信息时,并没有默认的提示音,也就是说只要距离足够近,读取他人银行卡信息可以在无声无息中进行。
厂家答复
NFC功能可以关闭
记者随后咨询了手机的生产厂家,客服人员表示,NFC功能并不是他们手机所独有的,从2006年诺基亚就已经推出了,现在三星、索尼、HTC等手机和很多国产手机也都加入了NFC功能,苹果将与中国银联合作把NFC移动支付感应功能加入到iPhone6中。有NFC功能的手机就像是一个能读取银行卡的读卡器,应该由银行来设定密码或者保护方式,来限制有NFC功能的手机读取信息。如果用户觉得使用该功能不安全,完全可以关闭手机设置功能中的NFC功能,但他们只是手机的生产厂商,不能阻止其他人用手机读取用户的银行卡信息。
记者发现自己手机使用NFC功能读取银行卡信息,是通过支付宝功能实现的,记者联系了支付宝的客服人员,他们表示支付宝只是其中一个用户入口,除支付宝钱包,任何支持NFC的电子钱包,都可显示出手机读取到的银行卡信息。用NFC功能读取到哪些银行卡信息,能显示哪些信息,都是相应的国家标准允许公开的。
银行答复
不放心可换回磁条卡
记者随后就此事咨询了建设银行、工商银行和中国银行等多家银行的客服人员,他们表示此前并未接到类似的投诉,将向银行的相关部门反映此事,但目前没有对此问题的解决办法。建设银行工作人员表示,建行的IC卡是根据人民银行金融IC卡片规范制发的,是经过人民银行银行卡检测中心检测通过的。现在各银行发行的IC芯片银行卡都是一样的,他们会尽快向监管机构汇报这个情况。客服人员建议,记者如果担心银行卡的使用安全,可以先通过电话将账户口头挂失,然后到开户行咨询,如果开户行无法解决,记者可以申请换用磁条银行卡。
记者了解到,根据中国人民银行的要求,从2013年1月1日起,全国性商业银行均要发行金融IC芯片卡,到2015年金融IC芯片卡将全面取代磁条卡,届时磁条卡就将逐渐退出历史舞台。
专家说法:
解决隐私泄露技术上不难
360手机安全专家陈先生介绍,NFC简单说来就是一种近距离无线通信功能,其可以允许电子设备之间进行非接触式的点对点数据传输和交换。这种功能可以让手机在短距离内完成文件传输,也可以打开手机上的支付软件,实现手机短距离的支付。
据360互联网安全中心发布的《中国移动支付安全报告》显示,具有NFC支付功能的支付宝钱包占移动支付下载量近六成。通过360手机助手下载的NFC相关应用,如快拍NFC手机专版、e乐冲公交卡、云飞NFC、微付NFC支付等,下载量已达到几十万次。陈先生表示,NFC支付安全最让人忧虑的是 “中间人攻击”,通过在一台手机上安装某种形式的间谍软件或恶意软件,进而感染其它手机,并且还可以能窃取上传用户手机上的数据,结合读取到的银行卡信息,手机用户将面临巨大资金损失。一旦黑客仿冒这些应用捆绑恶意程序诱骗手机用户下载,带有NFC支付功能的手机将会沦为黑客的 “取款机”。NFC支付日渐普及,手机用户更需要注意手机安全,通过360手机助手等安全可靠的软件市场下载NFC支付类应用,并时常使用360手机卫士对手机进行扫描杀毒。
360手机安全专家陈先生表示,不法之徒用手机NFC功能读取到用户的卡号、开户行、最近交易记录等信息后,进一步了解到用户的身份证号,就可能复制这张IC芯片银行卡,或者将银行卡绑定手机支付功能,甚至还可以查询最近交易记录回答银行的安全问题,给交易安全带来威胁。
手机NFC功能的出现是大势所趋,现在出现种种问题的关键在于,手机NFC功能缺乏监管,不仅仅银行卡可以读取,一些小工厂生产的IC卡也可以读取,根本没有任何门槛。银行解决目前大家担心的银行卡信息泄露问题,从技术角度讲并不困难,银行卡系统中有个NFC的标签,把相关信息写到标签里,手机才能读取,只要银行将最近交易或者卡号等详细信息删除,手机就无法读取这些信息。要彻底解决手机NFC功能应用,还需要制定一个详细的规则,加强监管力度。(记者 黄飞)
责任编辑:赵晓
大众网版权与免责声明
1、大众网所有内容的版权均属于作者或页面内声明的版权人。未经大众网的书面许可,任何其他个人或组织均不得以任何形式将大众网的各项资源转载、复制、编辑或发布使用于其他任何场合;不得把其中任何形式的图片切换散发给其他方,不可把这些信息在其他的服务器或文档中作镜像复制或保存;不得修改或再使用大众网的任何资源。若有意转载本站信息资料,必需取得大众网书面授权。
2、已经本网授权使用作品的,应在授权范围内使用,并注明"来源:大众网"。违反上述声明者,本网将追究其相关法律责任。
3、凡本网注明"来源:XXX(非大众网)"的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。本网转载其他媒体之稿件,意在为公众提供免费服务。如稿件版权单位或个人不想在本网发布,可与本网联系,本网视情况可立即将其撤除。
4、如因作品内容、版权和其它问题需要同本网联系的,请30日内进行。