“閃付”因為便捷的體驗火爆起來——不用密碼,在讀卡器上輕輕一放,短短幾秒鐘就能完成付款。
閃付銀行卡存漏洞 可泄露隱私信息
蘋果手機推出的“蘋果支付”功能,只要將手機靠近有銀聯“閃付”標志的讀卡器,不用密碼,短短幾秒鐘就能完成付款。便捷的體驗,讓“閃付”消費火爆起來。而沒有蘋果手機的用戶,也可以通過具備“閃付”(Quick Pass)功能的銀行卡,在讀卡器上輕輕一放,同樣不用密碼,短短幾秒鐘就能完成付款。
據了解,“閃付”卡是金融IC卡的非接觸式支付產品。在小額快速支付時無需使用密碼和簽名。雖然各個銀行的要求不同,但通常金額不會超過1000元。
記者通過實驗發現,僅通過一個薄薄的讀卡器,“閃付”卡上的個人信息就可能被泄露。
通過實驗發現,每家銀行在卡內“存儲”的個人信息并不完全一樣,但幾乎都包含卡主姓名的拼音、卡號,以及近期通過“閃付”“網銀”“ATM”和普通POS機進行過的消費。而個別銀行卡,甚至可以刷出用戶的身份證號。
而據了解,在海淘的時候,很多國外商城網站只需要信用卡卡主姓名、銀行卡號和銀行卡有效期就可以支付購物。國外已經出現類似刷卡行為。
1、讀取內容:瞬間讀取卡內身份證等信息
記者準備了一張擁有閃付功能的銀行卡、一個網絡安全專家自制的讀卡器,以及配套的信號接收器和電腦。記者注意到,自制的接收器主體也只有一張銀行卡大小,只是其中一端多出了幾毫米厚的芯片和天線而已。
把讀卡器放到一張銀行卡上,幾乎同時,該卡片主人的信息就出現在了電腦屏幕上。內容則包括了卡主的姓名、身份證號,最近10次的消費、取現、轉賬記錄等。
無需密碼,接觸后,讀卡器瞬間讀取閃付銀行卡內信息,卡片信息包括卡主姓名、身份證號、消費記錄、轉賬記錄等。
而從讀取的記錄上看,這名卡主在近期消費比較規律,連續3天都在同一時間、到同一便利店購物;晚上吃飯也在同一區域;平均每頓飯的消費金額約為500元。而由于從這張銀行卡上還可以讀出身份證號,因此卡主的年齡、出生地也不再是什么秘密。
記者又使用了另外6家銀行發行的“閃付”卡進行了測試發現,身份證號并不是“必備”信息,但通過消費記錄“拼接”卡主的消費習慣、生活范圍甚至收入水平都不是什么難事兒。
2、讀取距離:5厘米范圍內 錢包放兜里也能讀
為了驗證讀卡器的“威力”,記者把讀卡器“停”在了卡的上方,測試其最大讀取距離。結果發現在兩個手指厚,也就是將近5厘米的距離以內都可以讀取。而在5至6厘米則偶爾出現信號;大于6厘米,沒有阻礙也難以收到信號。
但幾乎不會有人把卡直接放在桌上任人讀取,通常銀行卡都會放在錢包或卡包中,至少也會放在衣兜中。這樣能否阻擋數據被讀取呢?結論是否定的。
記者發現,不論錢包里有多少其他卡片或現金,也不論錢包放在什么材質的衣服里,中間隔著多少層布,只要卡片距離讀卡器在5厘米以內,幾乎都可以讀取。但隨著布料增厚,阻礙接近5厘米時,讀卡器也會偶爾卡殼兒。
實驗中記者把裝有閃付卡的錢包放入褲兜中,讀卡器貼上錢包掃描時只有輕微的感覺而且時間非常短。如果在公共場合或是正專注地玩手機,這樣的觸碰不容易引起注意。此外,在實驗中,安全專家把讀卡器藏在了手套中,由于體量很小,如果沒有發現其手掌處有芯片造成的突起,很難被發現。
3、安全防范:薄薄一層錫紙 就能管用
單看實驗結果,似乎只有把銀行卡深藏到書包內側,否則就“防不勝防”。而如果把卡“深藏”起來,也就失去了“閃付”的便利性。
為此,網絡安全專家表示,防范手段其實很簡單。首先,可以購買一個有防電磁功能的錢包或者卡套。因為其具備隔絕信號的功能,銀行卡不僅可以免于被消磁,也可以擋住讀卡器發射的信號。
記者在網上搜索發現,這樣的錢包幾乎都在百元以上,幾乎都是硬質材料,而且樣式比較單一。
為此,專家告訴記者,只要在錢包的夾層內放上一層薄薄的錫紙,一樣可以起到隔絕信號的作用。
專家向記者展示了他的“卡套”,從外表看只是一個普通的硬紙殼,但在內側貼上了薄薄的一層錫紙。把卡放在里面,不論讀卡器距離多近,都讀不出卡里的信息。
