https://twcert2024.informationsecurity.com.tw/

觀點

NFC行動支付上路 安全比方便更重要

2011 / 12 / 19
廖珮君
NFC行動支付上路  安全比方便更重要

智慧型手機普及、功能也愈來愈多,除了上網、收發mail、玩遊戲之外,現在還能作為交易付款工具,日前,中華電信、悠遊卡、恩智浦半導體及萬事達卡公司合作,推出內嵌NFC晶片的手機背夾,兼具悠遊卡與信用卡功能,惟目前僅適用於iPhone 4/4S手機。

 

NFC手機背夾與Google Wallet原理相同,只是應用模式不同。就NFC手機背夾來看,使用者必須到銀行填寫申請書,由銀行將信用卡號與加密金鑰寫入至NFC晶片裡(即入碼),至於Google Wallet則是走OTA(Over the air)傳輸模式,消費者上網申請服務,經過花旗銀行認證,再透過3G網路將相關資料寫至手機晶片中。

 

在這次合作案中,中華電信主要負責背夾與手機APP的開發工作,中華電信研究所副所長張光耀表示,由於OTA模式透過行動網路傳輸持卡人個人資料,安全要求相對較高,中華電信在機房運作、資料傳輸、軟體開發上,都必須符合萬事達卡的安全認證規範,只不過礙於目前法令限制,無法推出OTA模式的行動付款服務,只能先採用手機背夾的形式。

 

至於付款過程中的安全問題,中華電信研究所研究員官有富指出,NFC手機背夾與原來非接觸式信用卡的付款方式相同,只是將付款工具由信用卡換成手機,但原有的安全機制(即交互認證與金鑰加密)卻沒有改變,只有通過認證的刷卡終端設備,才能讀取資料,資料在傳輸過程中同樣會以金鑰加密,避免被竊取。

 

不過,前不久,Google Wallet才爆發出信用卡資料未加密儲存的爭議,資安公司viaForensics表示,可透過中間人攻擊讀取手機儲存的資料如:持卡人姓名、餘額、卡號末四碼、有效期限、E-mail…等,而此次的NFC手機背夾,其晶片內同樣存放了信用卡號、手機號碼、加密金鑰、及發卡銀行認為有必要的資料,相關APP只存取信用卡號與到期日,但不儲存CVV驗證碼。

 

相關人士指出,信用卡號、到期日等資料在真實世界裡印在信用卡上,並沒有特別保密,移植到虛擬世界裡也不必特別加密,只要沒有驗證碼就不能完成交易。然而,隨著人們對手機的依賴愈深、手機內存放的個人資訊就愈多,這些在真實世界分開出現的資料,一旦整合在一隻手機裡,駭客只要竊取到其中一部份,就能再往下取得更多資料,對使用者來說仍有可能造成極大的風險。