不仅仅是支付 NFC射频识别应用安全分析

互联网支付的磅礴兴起，打破了人们平静地传承了千百年的交易方式。在目前众多的支付技术中，通过NFC射频识别技术来实现的支付手段，相信是互联网软件发展与移动硬件部件成熟相结合的产物。这一产物在现实中，支付方式的改变其实只是NFC的一个功能缩影，但这个缩影落实在特定的卡片或者手机上，却是起到了一种启示性作用。但往往便捷程度越高安全问题越明显，那么NFC射频识别技术、或NFC相关应用程序在实际应用中，安全状况如何？相信通过本文大家得到更详细了解。不仅仅是支付NFC射频识别应用安全分析也许大家很早以前就有听说过NFC，但是很少有手机配备这样的功能，那是因为初期，也就只要那些高大上的手机才可能会配备NFC。大家知道，蓝牙在不同的设备之间连接之前，需要经过蓝牙或者是验证码来匹配，匹配完成之后才能在不同的设备之间建立连接；然而NFC则只需要两个设备轻轻贴近，即可进行文件传输、软件互传而无需其他任何匹配方面的设置。相对来说，蓝牙的配对，需要使用验证码或者设立一定密码来实现；NFC却是在不同设备（支持NFC硬件模块）之间，那么，在这样不需要任何的密码、验证而直接的实现连接，在安全方面是否会存在着隐患。目前为止NFC技术所涉及到的领域目前NFC手机已实现交通、购物、娱乐等消费时小额支付以及门禁、停车、巡更、消费、考勤等应用。并且，由于NFC以手机为载体，就可以开发出传统IC卡无法实现的空中开卡、空中充值、在线认证、明细查询、远程开门等便利的功能。除此之外，人们可以利用手机NFC的读卡器模式开发成手持终端机，以替代传统的IC卡读写器对其它手机NFC或IC卡进行操作等。NFC技术的应用，带给人们一种崭新的生活方式。体现在硬件方面的连接安全性，也许我们较难从表面上进行考究，但前文已经提到，NFC技术在设备上的功能另一方面通过软件来体现，而我们从软件应用方面来进行探究，相信是一个比较容易突破的关键点。前不久北京公交集团旗下推出的一款官方软件，可用于对市政交通一卡通进行自助充值。这款软件所使用到的技术就是NFC，是NFC结合软件程序产物中的一个新型代表。北京一卡通可以进行查询需要第三方软件的支持，成功识别之后，可以轻松查询乘客详细的刷卡记录、卡的余额、何时到期等等。而其中，充值交易是软件的关键应用功能点。通过NFC来识别公交卡，是一个很显著的进步，但涉及到与用户支付账户，甚至是银行账户信息相挂钩，而NFC的便捷性并未对连接过程或者交易过程进行加密，是否存在着隐患，我们接下来继续探究。给市政一卡通充值现在您只需要一台手机一款软件即实现一卡通消费记录以北京市为例，城区街头我们通常能看到很多地方都立着公用电话亭，虽说这些电话亭现时潮流之下已经时过境迁，但电话亭却不是一无是处。将一卡通插入电话卡槽，您会发现可以直接使用公交卡拨打电话，资费便宜：长途话费（港澳台除外）0.1元/一分钟，非常合算的通话费用。如上图所示交易记录中的-0.1元正是使用这些公用电话时，所消费的话费。充值软件一个完整交易的应用过程以上，是使用该软件为公交一卡通充值的整套过程，我们似乎很难找到这里面有什么不妥的地方。充值交易到最后，用户只需要输入支付宝账户对应的支付密码，即可最终完成交易。支付宝账户无法清除是否会存在安全隐患？我们最初发现的问题是，当用户通过个人手机号码获得验证码登陆充值程序之后，默认账户就已经成立，用户首次登陆了支付宝账户之后，软件则认为用户默认了这一支付方式。然而重点都不在这里，重点在于，我们在支付宝账户信息菜单中，根本无法找到任何清除已登录支付宝账户的功能按钮，而仅可使用更多的其他支付宝账户来进行登录而已。试图排除隐患：笔者为了验证是否软件存在着账户缓存问题，进行了下面几个尝试，看是否能将已登录的账户消除。①将软件卸载，再安装完毕之后，账户信息依然存在；②换用其他手机号码登陆，使用其他一卡通操作，账户仍在；③Android系统恢复后，再次安装该软件，只要登录成功，并进行充值交易时，所显示的支付宝账户信息依然是首次登陆的账户。这样会有什么安全隐患？支付宝账户无法清除，就意味着该项支持NFC识别技术的软件应用，注定了无法在公共场所进行一卡通充值；第二点，个人账户方面的隐私问题，必然受到影响；最后一点，一旦支付宝支付密码泄露，后果就可想而知了。不过，由于软件目前版本所经历的版本更新还不是很多，相信在接下来的版本中，这样的问题会得到完美解决。目前，很多公共场所，如机场、地铁以及购物中心等人群比较密集的区域，我们往往可以看到一些自动售货机。这些自动售货机上渐渐出现了一些想支付手段：支付宝支付、微信支付等，传统支付包括纸币、硬币支付等。北京地铁中的自动售货机然而，每一种支付方式都对应的操作方式，其实也是不一样的。支付宝支付在这些机器上的操作，包括了二维码、声波支付；微信支付对应的是二维码；第三种支付正是本文所需要去讲述的――通过NFC近场支付，实际上就是通过使用北京市政公交一卡通来进行NFC刷卡实现。乘客使用手机或公交卡都可以进行购买自动售货机中畅销商品很快就卖完NFC支付是一种近距离交易特点的创新支付产品，出门使用公交一卡通即可消费，完全可以不带钱包，就能通过“刷卡、刷手机”在超市、餐厅、自动售货机、地铁等各种场所消费。单笔消费最多300元，电子现金预存上限1000元。部分自动售货机拥有一卡通NFC刷卡支付装置NFC近场（通讯）支付方式所存在的问题NFC近场支付（通讯）好是好，但对于服务提供商和用户而言，都需要一些投入。例如用户需要花费额外落实到硬件上的NFC芯片成本。如果使用外置于手机的刷卡芯片（谷歌曾开发一种带有NFC芯片的贴纸），则容易损坏和丢失（其中丢失问题是非常严重的问题）。加上一卡通目前为止，是一种不记名的储值卡，也就是说用户往里面储值之后，一旦一卡通丢失，在无任何身份认证的情况下，用户其实无法对丢失的卡片进行冻结，那么卡内所存入的钱就没办法找回来了。NFC近场支付的未来相信仅通过公交一卡通的方式来进行的NFC交易，显然比较局限。不过我们了解到，NFC移动相关工作人员介绍称，目前支持NFC支付功能的手机已经发布了5款，预计到年底将扩展到近20款手机。想要尝鲜的市