支付宝+NFC=“读芯术” 手机可秒读他人银行卡信息

15.07.2014  12:53

银行卡内的余额、资金进出记录等信息,对于我们每一个消费者来说都应是秘而不宣的“高度机密”。可是,如果一台手机只需安装普通的软件应用,无需任何门槛就能瞬间读取任何一张银行卡的这些信息,您还感觉自己的银行卡是安全的吗?

这并不是危言耸听。记者调查发现,用手机的NFC(近场支付)功能结合支付宝软件,非常简单就能让手机拥有这样的“读芯术”。即便是支付宝方面称银行卡的安全可以得到保障,这一情况依然让很多消费者忧心忡忡。

现象

银行卡公交卡两秒钟通读

“我只是无意中将银行卡放在手机背面,结果手机居然读出了银行卡的卡号和最近10次的交易记录!”这个偶然之中的发现,让消费者李妍惊诧不已。

李妍的说法是否属实?记者就此进行了调查。打开手机上的支付宝软件,李妍掏出一张工商银行的芯片银行卡,贴到手机的背面。短短两秒钟之后,手机屏幕上立即显示出这张卡片的具体信息,其中包括是哪一家银行发出的卡,卡的使用次数,还可以查看最近10笔交易记录。

“6月20日,账户转账20000元;7月2日,提款1400元……”一笔一笔核对完这些交易记录,李妍的脸色都有些变了:“完全没错,就是我这张卡最近10笔资金变化的记录。”

更加让人意外的是,手机这种“读芯术”还不仅仅只针对消费者本人的银行卡。李妍换了一张朋友的芯片银行卡,同样在一瞬间就刷出了卡片信息。

如果换一个卡种呢?记者随即掏出一张北京公交一卡通,贴到手机背面,也只是短短两秒钟,手机屏幕上同样立即显示出卡片信息:北京市政交通卡,包括卡号、卡内资金余额、近期使用次数等信息均一一在列。

记者调查发现,要刷出银行卡的信息,必须满足三个条件。首先,手机要具备并开通NFC(近场支付)功能,这种近距离无线通讯技术是一种非接触式识别和互联技术,可以在移动设备和电子芯片之间进行近距离无线通信。此外,刷的银行卡必须是带有芯片的金融IC卡,手机上还必须安装有支付宝软件。

详细分析下来,这三个条件都并非难事。手机安装支付宝软件,只需要有无线网络支持便可以随时下载安装;多家银行均可以新办或者更换IC芯片卡。至于具备NFC功能的手机也不在少数,包括三星Note3、S5等目前主流的手机均具备这一功能。

追问

“快捷支付”能盗刷资金?

如果支付宝软件仅仅只是显示银行卡的一些信息,或许还不至于让李妍如此不安。在刷卡之后,手机屏幕上还多出几个选项,包括“开通快捷支付”、“转账到该卡”等,这意味着通过手机可以对这张银行卡进行进一步的操作。

看着这些选项,李妍心里更虚了:“万一谁拿着我的银行卡,直接在手机上一刷,再悄悄开通快捷支付,岂不是可以轻松盗刷我卡里的资金?”

在多个手机论坛以及微博等平台上,不少发现了这一秘密的消费者纷纷表达着担忧的声音:“这是一个让人不安的功能,试想,别人开着支付宝NFC功能,悄悄把手机贴近你的银行卡……”“也有可能某个人开着这个功能,在公交或地铁里贴近别人的钱包,别人银行卡里的信息不就全都泄露了?”

不仅是网友,公安部治安管理局的官方微博“公安部打四黑除四害”近期也连续发出针对这一现象的消费提醒。微博中明确表示,经多方实验,手机确实能够通过NFC功能读取芯片银行卡的相关消费记录。

回应

“读芯”功能对内不对外

既然这种“读芯术”如此简单易操作,会不会被心怀不轨的人利用,对消费者银行卡账户的安全构成威胁?消费者的担忧有没有道理?带着这些问题,昨日记者立即采访支付宝客服人员,请他们做出回应。

“支付宝只是显示一下银行卡中的信息,NFC功能终究还是需要手机支持的。”支付宝客服人员解释称,读取银行卡信息的主体是手机NFC功能,只要是能够对接这个功能的软件,都能显示银行卡信息,软件并不仅仅局限于支付宝一种。“但是,如果您不需要读取银行卡信息,也可以关闭手机的NFC功能。”

但这一回复并不能完全回应消费者的疑虑。如果能够在读取卡片信息之后,随意开通“快捷支付”功能,能否意味着银行卡能够绑定到任何支付宝账户上随意花钱?

“绑定快捷支付是有前提的,必须要求支付宝的账户姓名和银行卡持有人姓名一致,才能绑定。就是说,您的名字是绑定不了他人的银行卡的。”支付宝客服人员表示,银行账户的密码等核心信息也不会被读取。

与此同时,NFC功能虽然可以显示银行卡的部分信息,但是在操作中是“对内不对外”,银行卡不能向外转账,只能通过部分金融应用向卡内转账。如果按照这一说法,网友确实不必担心“银行卡被悄悄读取后盗用,再消费”的情况发生。

支付宝客服人员还透露,NFC功能有严格的距离要求,银行卡和手机NFC芯片之间的距离不能超过5厘米,而且NFC功能无法穿透金属物。“哪怕卡不会被轻易盗刷,我也很难接受自己的银行卡交易记录有可能随时被读取,这种被窥探的感觉太不好了。”李妍说,NFC功能无法穿透金属物在日常生活中也很难实现。“毕竟我不能用一个金属壳包裹住所有的银行卡吧?”

支招

如何避开手机“读芯术”?

(1)不少手机在购买后,NFC功能就是默认打开的,消费者在使用手机时,最好在第一时间关闭NFC功能,避免消费信息隐私暴露。

(2)被读取信息,别担心资金盗刷。银行卡绑定快捷支付有前提,支付宝的账户姓名必须和银行卡持有人姓名一致,才能绑定。

(3)妥善保管银行卡。NFC功能有严格的距离要求,银行卡和手机NFC芯片之间的距离不能超过5厘米,而且NFC功能无法穿透金属物。本报记者 杨汛