蘋(píng)果iPhone 6本周亮相，新手機(jī)支持NFC近場(chǎng)支付功能成為亮點(diǎn)。NFC近年來(lái)在國(guó)內(nèi)發(fā)展迅速，POS機(jī)覆蓋率已接近三成。隨著NFC贏得更多用戶青睞，使用場(chǎng)景日趨豐富，其隱含的安全風(fēng)險(xiǎn)也開(kāi)始放大。

　　□尤歆飛

　　銀行卡還在口袋里，個(gè)人信息已被泄漏；手機(jī)不知不覺(jué)被植入惡意軟件，盜取信息，隨意扣費(fèi)……這些可怕的場(chǎng)景并不只是出現(xiàn)在噩夢(mèng)中，它還很可能成為你必須面對(duì)的現(xiàn)實(shí)。有媒體報(bào)道稱，本地一位女士日前將一張裝有IC芯片的銀行卡貼在具有NFC近場(chǎng)支付功能的手機(jī)背面，在沒(méi)有輸入密碼的情況下，手機(jī)赫然讀出了她的銀行卡號(hào)、身份證的部分?jǐn)?shù)字和近10次交易記錄，這讓她驚出一身冷汗……在給人們帶來(lái)更多生活便捷的同時(shí)，NFC的安全性究竟如何？

　　NFC正當(dāng)紅

　　NFC（NearField Communication）名為近距離無(wú)線通信技術(shù)，由非接觸式射頻識(shí)別（RFID）和互聯(lián)互通技術(shù)整合演變而來(lái)，是一種短距高頻的無(wú)線電技術(shù)，在單一芯片上結(jié)合感應(yīng)式讀卡器、感應(yīng)式卡片和點(diǎn)對(duì)點(diǎn)的功能，能在短距離內(nèi)與兼容設(shè)備進(jìn)行識(shí)別和數(shù)據(jù)交換。與我們目前使用的藍(lán)牙技術(shù)相比，NFC使用更方便，建立連接的速度只需0.1秒鐘，在手機(jī)、門(mén)禁、一卡通、銀行卡領(lǐng)域逐漸被廣泛應(yīng)用。憑借NFC功能，消費(fèi)者只需刷一下手機(jī)，便可在一兩秒內(nèi)完成支付，令消費(fèi)者的支付行為更加快速便捷，節(jié)省不少時(shí)間成本。

　　有數(shù)據(jù)預(yù)測(cè)，2016年全球NFC應(yīng)用市場(chǎng)規(guī)模有望達(dá)到100億美元，2011年至2016年的復(fù)合年均增長(zhǎng)率近40%。央行在今年3月下發(fā)的《中國(guó)人民銀行關(guān)于手機(jī)支付業(yè)務(wù)發(fā)展的指導(dǎo)意見(jiàn)》中，明確表示鼓勵(lì)商業(yè)銀行開(kāi)展NFC手機(jī)支付應(yīng)用。

　　北京時(shí)間本周三凌晨，蘋(píng)果宣布推出iPhone 6及可穿戴設(shè)備iWatch，除了更大的屏幕之外，兩款設(shè)備都支持NFC功能是一大亮點(diǎn)。在多種近場(chǎng)支付技術(shù)中猶豫多時(shí)的蘋(píng)果最終選擇NFC，為NFC的發(fā)展注入一針強(qiáng)心劑——由于目前國(guó)內(nèi)的手機(jī)支付主要為二維碼支付和NFC支付兩種模式，隨著央行叫停二維碼支付之后，NFC支付將有更大的市場(chǎng)發(fā)展空間。

　　各方搶灘NFC支付業(yè)務(wù)

　　如火如荼的NFC吸引著銀行、運(yùn)營(yíng)商、手機(jī)廠商和POS終端廠商紛至沓來(lái)。據(jù)市場(chǎng)研究機(jī)構(gòu)HIS日前公布的數(shù)據(jù)顯示，2012年全球支持NFC功能的手機(jī)出貨量?jī)H為1.2億臺(tái)，2013年翻番至2.75億臺(tái)，預(yù)計(jì)2014年將增長(zhǎng)至4.16億部。而在國(guó)內(nèi)1000多萬(wàn)臺(tái)的POS終端中，帶有NFC功能的已經(jīng)超過(guò)了300萬(wàn)臺(tái)。

　　日前，興業(yè)銀行聯(lián)合中國(guó)聯(lián)通推出的“手機(jī)錢(qián)包”可在全國(guó)各類(lèi)消費(fèi)場(chǎng)所帶有銀聯(lián)“閃付”標(biāo)識(shí)的POS機(jī)上使用，消費(fèi)者只需將已開(kāi)通“手機(jī)錢(qián)包”功能的手機(jī)靠近POS機(jī)上“閃付”感應(yīng)區(qū)一刷即可。除“閃付”功能外，該行“手機(jī)錢(qián)包”還提供充值、查詢明細(xì)等服務(wù)，使手機(jī)成為集通訊上網(wǎng)、日常消費(fèi)支付、銀行卡管理三大功能于一身的智能服務(wù)平臺(tái)。據(jù)了解，已有包括工農(nóng)中建交、招行、浦發(fā)、光大、中信、興業(yè)、南京銀行等多家銀行陸續(xù)推出基于NFC的手機(jī)錢(qián)包業(yè)務(wù)。

　　在不久前舉行的首屆城市建設(shè)信息技術(shù)產(chǎn)品博覽會(huì)上，支付寶錢(qián)包聯(lián)合住建部推出了城市一卡通服務(wù)，支付寶錢(qián)包通過(guò)與NFC手機(jī)廠商合作，將手機(jī)變成公交一卡通，可實(shí)現(xiàn)公交、地鐵、出租車(chē)等各類(lèi)出行方式，目前覆蓋35個(gè)城市。不過(guò)目前支持城市一卡通的手機(jī)僅包括OPPON1、OPPON1mini以及OPPOFind7，預(yù)計(jì)到年底將全面支持市場(chǎng)上主流的NFC手機(jī)。

　　除了銀行與第三方支付企業(yè)，三大運(yùn)營(yíng)商也紛紛發(fā)力NFC手機(jī)支付業(yè)務(wù)。在上海，上海移動(dòng)和申通集團(tuán)及一卡通公司聯(lián)合推出了“移動(dòng)NFC手機(jī)一卡通”，用戶使用支持NFC的手機(jī)，就可以“刷手機(jī)”乘地鐵、輪渡、公交。此外，中國(guó)聯(lián)通攜手招商銀行推出“聯(lián)通招行手機(jī)錢(qián)包”，中國(guó)電信也推出了“天翼手機(jī)錢(qián)包”和“翼支付”應(yīng)用……此外，央行也正在加快建立國(guó)內(nèi)移動(dòng)支付技術(shù)檢測(cè)認(rèn)證體系，促進(jìn)商業(yè)銀行、通信運(yùn)營(yíng)商、中國(guó)銀聯(lián)的NFC移動(dòng)支付合作進(jìn)程。

　　警惕！變身為潛在的“窺視鏡”

　　與NFC有關(guān)的利好消息不絕于耳，但前段時(shí)間媒體報(bào)道的NFC安全漏洞消息，也讓躍躍欲試的嘗鮮者心存疑慮。

　　不久前有多家媒體曝出新聞稱：打開(kāi)NFC功能的手機(jī)通過(guò)觸碰IC銀行卡，可自動(dòng)讀取銀行卡的交易信息！這些說(shuō)法絕非危言聳聽(tīng)。有媒體記者通過(guò)實(shí)驗(yàn)發(fā)現(xiàn)，只需將帶有IC芯片的銀行卡正面朝上放在桌上，隨后將手機(jī)背面輕輕貼上，一秒鐘后，支付寶錢(qián)包自動(dòng)跳出，打開(kāi)“讀取結(jié)果”頁(yè)面，會(huì)準(zhǔn)確顯示銀行卡的發(fā)卡行、電子現(xiàn)金余額、使用次數(shù)等信息，并顯示卡號(hào)的最后4位數(shù)。接著，點(diǎn)開(kāi)“開(kāi)通快捷支付”或“轉(zhuǎn)賬到該賬戶”，原本部分隱匿的銀行卡號(hào)完全暴露出來(lái)。如果將銀行卡放在褲袋中，被識(shí)別的概率非常高，識(shí)別過(guò)程往往在1秒內(nèi)就能完成，人們很有可能在與他人擦肩而過(guò)時(shí)，被其他手機(jī)“偷走”信息。

　　某第三方支付的技術(shù)專家透露，用手機(jī)查看銀行卡信息需要滿足4個(gè)條件：手機(jī)支持并打開(kāi)了NFC功能，銀行卡為IC卡，手機(jī)內(nèi)安裝了可識(shí)別NFC的軟件；手機(jī)和銀行卡的距離足夠近（通常在5厘米左右）。“NFC一直被拿來(lái)與藍(lán)牙做比較，如果說(shuō)藍(lán)牙是相親大會(huì)，你是站在一個(gè)滿是姑娘的大廳里；那么NFC則是‘幽會(huì)’，你只和離自己最近的那一個(gè)配對(duì)?！痹摪踩珜＜医榻B。

　　盡管從目前來(lái)看，手機(jī)能通過(guò)NFC功能“掃”出一些銀行卡信息，但是還處于“窺視”的階段，并未出現(xiàn)挪用和盜取的案例。但是，從信息安全的角度而言，足以令人憂心忡忡了。

　　危險(xiǎn)！手機(jī)變成黑客“肉雞”？

　　除了信息泄露的隱患，NFC面臨的另一大威脅是來(lái)自黑客攻擊。前美國(guó)安全局局分析師查理-米勒曾在一次會(huì)議上，向人們演示了驚人一幕：他利用NFC功能，輕松地將一部智能手機(jī)變成了“肉雞”（也稱傀儡機(jī)，是指可以被黑客遠(yuǎn)程控制的機(jī)器），并讓這部手機(jī)自動(dòng)訪問(wèn)惡意網(wǎng)站。

　　米勒在演示中說(shuō)，“我只需要準(zhǔn)備一個(gè)NFCTag（掛飾），然后和你的手機(jī)觸碰或靠近你的手機(jī)，你的手機(jī)將自動(dòng)打開(kāi)瀏覽器，手機(jī)按照我在NFC掛飾中輸入的指令去執(zhí)行一系列任務(wù)?！泵桌者€發(fā)現(xiàn)，安卓手機(jī)的Beam數(shù)據(jù)分享應(yīng)用可以被動(dòng)接收網(wǎng)頁(yè)鏈接或在未經(jīng)用戶允許下載文件，黑客只需用NFCTag接觸目標(biāo)用戶的手機(jī)，就可以在用戶手機(jī)中植入惡意程序、或打開(kāi)惡意網(wǎng)頁(yè)。

　　360手機(jī)安全專家同時(shí)指出：NFC支付中另一個(gè)令人憂慮的是“中間人攻擊”，即黑客通過(guò)在一臺(tái)手機(jī)上安裝某種形式的間諜軟件或惡意軟件，通過(guò)NFC功能，感染其它手機(jī)，隨著這種病毒式的持續(xù)擴(kuò)散，讓更多人遭受損失。

　　防范：個(gè)人防范和標(biāo)準(zhǔn)發(fā)展并行

　　盡管NFC支付面臨一定的隱患，但危險(xiǎn)并非無(wú)法防范。由于NFC支付對(duì)于周邊環(huán)境有非常嚴(yán)格的要求，不僅兩者距離必須在5厘米以內(nèi)，同時(shí)銀行卡必須直接貼在手機(jī)背面的NFC區(qū)域內(nèi)，才能準(zhǔn)確讀取數(shù)據(jù)，如果將銀行卡放在錢(qián)包里，或者放入公文包、手包中，讀取難度會(huì)非常大。銀率網(wǎng)理財(cái)分析師毛亞斌建議，持卡人需妥善保管好IC芯片卡，時(shí)刻警惕并防止個(gè)人信息泄露，為了安全起見(jiàn)，可以使用專門(mén)的防磁卡包或者使用比較厚的錢(qián)包。銀行卡一旦丟失，應(yīng)及時(shí)掛失補(bǔ)辦，避免被盜用。

　　同時(shí)，毛亞斌指出，為更好保護(hù)消費(fèi)者權(quán)益，相關(guān)部門(mén)應(yīng)對(duì)銀行IC芯片卡的存寫(xiě)內(nèi)容或NFC手機(jī)讀取規(guī)則加以逐步規(guī)范，建立手機(jī)銀行和第三方支付平臺(tái)的行業(yè)標(biāo)準(zhǔn)，保障持卡人合法權(quán)益?！捌┤缫?guī)定NFC手機(jī)可讀取哪些銀行卡的內(nèi)容，而哪些內(nèi)容不能讀取；或者將綁定手機(jī)的銀行卡及未綁定手機(jī)的銀行卡的讀取權(quán)限予以區(qū)分。

　　銀行方面建議，NFC自動(dòng)顯示交易記錄的功能，目前還無(wú)法修改。用戶可以在手機(jī)設(shè)置里將NFC功能關(guān)閉，或者盡量使手機(jī)離芯片卡遠(yuǎn)點(diǎn)。

　　而從防范黑客攻擊的層面而言，目前暫沒(méi)有更多辦法，專家建議用戶在下載NFC支付類(lèi)軟件時(shí)應(yīng)從正規(guī)渠道選擇官方版本，以免手機(jī)中毒，同時(shí)經(jīng)常使用專業(yè)殺毒軟件，對(duì)手機(jī)進(jìn)行掃殺毒。

　　NFC作為一款新生的技術(shù)，在其快速發(fā)展的同時(shí)，也面臨著許多不可避免的安全漏洞，這些漏洞會(huì)給黑客們帶來(lái)可乘之機(jī)。不過(guò)，在曲折的發(fā)展過(guò)程中，安全防范技術(shù)也會(huì)不斷提升。這場(chǎng)魔高一尺、道高一丈的比拼，最終會(huì)推動(dòng)NFC不斷前行。

　　什么是NFC

　　NFC由飛利浦半導(dǎo)體（現(xiàn)恩智浦半導(dǎo)體）、諾基亞和索尼共同研制開(kāi)發(fā)，其基礎(chǔ)是RFID及互連技術(shù)。它是一種短距高頻的無(wú)線電技術(shù)，在13.56MHz頻率運(yùn)行于20厘米距離內(nèi)。

　　為了推動(dòng)NFC的發(fā)展和普及，業(yè)界創(chuàng)建了一個(gè)非營(yíng)利性的標(biāo)準(zhǔn)組織——NFCForum，以促進(jìn)NFC技術(shù)的實(shí)施和標(biāo)準(zhǔn)化，確保設(shè)備和服務(wù)之間協(xié)同合作。NFCForum在全球擁有數(shù)百個(gè)成員，包括諾基亞、索尼、飛利浦、LG、摩托羅拉、NXP、NEC、三星、Intel等業(yè)界巨頭。NFCForum的中國(guó)成員有魅族、步步高vivo、OPPO、小米、中國(guó)移動(dòng)、華為、中興等公司。

　　NFC主要有兩種工作模式，“卡模式”和“點(diǎn)對(duì)點(diǎn)”模式。其中“卡模式”目前已經(jīng)相當(dāng)普及，它可以替代我們生活中大量的IC卡（包括信用卡），適合商場(chǎng)刷卡、公交卡、門(mén)禁管制、車(chē)票、門(mén)票等。此種方式下，卡片可以通過(guò)非接觸讀卡器的RF域來(lái)供電，即便是寄主設(shè)備（如手機(jī)）沒(méi)電也可以工作。

　　另一種“點(diǎn)對(duì)點(diǎn)”模式和紅外線傳輸技術(shù)接近，可用于不同設(shè)備間的數(shù)據(jù)交換，其優(yōu)點(diǎn)是傳輸識(shí)別速度和傳輸速度較快，功耗低。比如將兩臺(tái)具備N(xiāo)FC功能的設(shè)備鏈接，就能實(shí)現(xiàn)數(shù)據(jù)的點(diǎn)對(duì)點(diǎn)傳輸，如下載音樂(lè)、交換圖片或者同步設(shè)備地址薄。

　　NFC的三大功能

　　NFC銀行卡應(yīng)用

　　通過(guò)手機(jī)錢(qián)包進(jìn)行銀行卡應(yīng)用的空中動(dòng)態(tài)下載（開(kāi)通）、余額查詢、交易記錄查詢、圈存等操作，并在金融服務(wù)提供商的POS機(jī)具上刷NFC手機(jī)并使用特定的銀行卡進(jìn)行支付。用戶不需要再攜帶銀行卡，只需要把自己所需要的銀行卡信息“寫(xiě)”入手機(jī)的SIM卡中。

　　NFC公交卡應(yīng)用

　　目前最為廣泛的一種應(yīng)用。用戶通過(guò)手機(jī)錢(qián)包進(jìn)行公交卡應(yīng)用的動(dòng)態(tài)下載（開(kāi)通）、余額查詢、公交卡充值等操作，并在公交POS機(jī)具上刷NFC手機(jī)支付公交費(fèi)用、在公交卡的合作商戶刷NFC手機(jī)進(jìn)行消費(fèi)等。

　　NFC會(huì)員卡/優(yōu)惠券應(yīng)用

　　用戶通過(guò)手機(jī)錢(qián)包進(jìn)行會(huì)員卡動(dòng)態(tài)辦理、優(yōu)惠券動(dòng)態(tài)訂購(gòu)等操作，并在關(guān)聯(lián)商戶處進(jìn)行會(huì)員身份識(shí)別和使用優(yōu)惠。運(yùn)營(yíng)商可以與商場(chǎng)、麥當(dāng)勞、便利店合作，將用戶林林總總的會(huì)員卡、優(yōu)惠券等寫(xiě)入手機(jī)SIM卡中，方便用戶使用。

　　管好你的NFC手機(jī)

　　■持卡人需妥善保管好IC芯片卡，使用專門(mén)的防磁卡包或者使用比較厚的錢(qián)包。

　　■由于NFC自動(dòng)顯示交易記錄的功能目前還無(wú)法修改，銀行建議用戶平時(shí)可以在手機(jī)設(shè)置中將NFC功能關(guān)閉，或者盡量讓帶NFC功能的手機(jī)離芯片卡。

　　■專家建議，為更好保護(hù)消費(fèi)者權(quán)益，相關(guān)部門(mén)應(yīng)對(duì)銀行IC芯片卡的存寫(xiě)內(nèi)容或NFC手機(jī)讀取規(guī)則加以逐步規(guī)范，建立手機(jī)銀行和第三方支付平臺(tái)的行業(yè)標(biāo)準(zhǔn)，保障持卡人合法權(quán)益?！捌┤缫?guī)定NFC手機(jī)可讀取哪些銀行卡的內(nèi)容，而哪些內(nèi)容不能讀?。换蛘邔⒔壎ㄊ謾C(jī)的銀行卡及未綁定手機(jī)的銀行卡的讀取權(quán)限予以區(qū)分。

　　為防NFC“泄密”iPhone6用上令牌技術(shù)

　　北京時(shí)間9月10日凌晨，蘋(píng)果發(fā)布iPhone6和智能手表，相比此前的iPhone系列手機(jī)，其重要的特色在于增加了NFC功能。和市面上其他的NFC支付一樣，消費(fèi)者只需在收銀臺(tái)之前揮一揮iPhone6，即可完成支付。蘋(píng)果表示，通過(guò)加速商戶收銀臺(tái)的支付過(guò)程，最終能夠讓消費(fèi)者拋棄口袋中的錢(qián)包，用智能手機(jī)主導(dǎo)支付。

　　為了保障NFC支付安全，蘋(píng)果采用了安全級(jí)別更高的令牌技術(shù)。令牌技術(shù)將會(huì)生成一次性使用的安全碼，就算惡意的第三方攔截到這一信息，也無(wú)法通過(guò)它來(lái)進(jìn)入用戶的賬戶或者金錢(qián)。為了支持iPhone 6的這項(xiàng)新技術(shù)，零售店將需要升級(jí)現(xiàn)有的NFC收銀終端。

　　蘋(píng)果互聯(lián)網(wǎng)軟件和服務(wù)高級(jí)副總裁Cue表示，為打消用戶的顧慮，iPhone6不會(huì)存儲(chǔ)用戶的銀行卡號(hào)碼，所以即使手機(jī)丟了，也沒(méi)有必要去注銷(xiāo)銀行卡，用戶可以通過(guò)Findmy i Phone來(lái)關(guān)閉所有的支付功能。Cue表示，“蘋(píng)果不會(huì)建立一個(gè)收集用戶數(shù)據(jù)的業(yè)務(wù)。蘋(píng)果不知道你購(gòu)買(mǎi)了什么，在哪里買(mǎi)的，或者為這個(gè)商品支付了多少錢(qián)。”

　　無(wú)獨(dú)有偶，在iPhone6之前，已經(jīng)有人在安卓手機(jī)上開(kāi)發(fā)了基于NFC和令牌技術(shù)的身份認(rèn)證系統(tǒng)，用戶訪問(wèn)站點(diǎn)進(jìn)行注冊(cè)時(shí)，將獲得唯一的手機(jī)令牌并存于帶有加解密功能的手機(jī)中；下次訪問(wèn)站點(diǎn)進(jìn)行身份認(rèn)證時(shí)，用戶可通過(guò)手機(jī)直接在Web站點(diǎn)進(jìn)行身份認(rèn)證，也可通過(guò)NFC技術(shù)將手機(jī)令牌傳于PC機(jī)，使用戶可以在PC機(jī)上利用手機(jī)進(jìn)行身份認(rèn)證。