蘋果iPhone 6本週亮相，新手機支援NFC近場支付功能成為亮點。NFC近年來在國內發展迅速，POS機覆蓋率已接近三成。隨著NFC贏得更多用戶青睞，使用場景日趨豐富，其隱含的安全風險也開始放大。

　　□尤歆飛

　　銀行卡還在口袋裏，個人資訊已被泄漏；手機不知不覺被植入惡意軟體，盜取資訊，隨意扣費……這些可怕的場景並不只是出現在噩夢中，它還很可能成為你必須面對的現實。有媒體報道稱，本地一位女士日前將一張裝有IC晶片的銀行卡貼在具有NFC近場支付功能的手機背面，在沒有輸入密碼的情況下，手機赫然讀出了她的銀行卡號、身份證的部分數字和近10次交易記錄，這讓她驚出一身冷汗……在給人們帶來更多生活便捷的同時，NFC的安全性究竟如何？

　　NFC正當紅

　　NFC（NearField Communication）名為近距離無線通信技術，由非接觸式射頻識別（RFID）和互聯互通技術整合演變而來，是一種短距高頻的無線電技術，在單一晶片上結合感應式讀卡器、感應式卡片和點對點的功能，能在短距離內與相容設備進行識別和數據交換。與我們目前使用的藍芽技術相比，NFC使用更方便，建立連接的速度只需0.1秒鐘，在手機、門禁、一卡通、銀行卡領域逐漸被廣泛應用。憑藉NFC功能，消費者只需刷一下手機，便可在一兩秒內完成支付，令消費者的支付行為更加快速便捷，節省不少時間成本。

　　有數據預測，2016年全球NFC應用市場規模有望達到100億美元，2011年至2016年的複合年均增長率近40%。央行在今年3月下發的《中國人民銀行關於手機支付業務發展的指導意見》中，明確表示鼓勵商業銀行開展NFC手機支付應用。

　　北京時間本週三淩晨，蘋果宣佈推出iPhone 6及可穿戴設備iWatch，除了更大的螢幕之外，兩款設備都支援NFC功能是一大亮點。在多種近場支付技術中猶豫多時的蘋果最終選擇NFC，為NFC的發展注入一針強心劑——由於目前國內的手機支付主要為二維碼支付和NFC支付兩種模式，隨著央行叫停二維碼支付之後，NFC支付將有更大的市場發展空間。

　　各方搶灘NFC支付業務

　　如火如荼的NFC吸引著銀行、運營商、手機廠商和POS終端廠商紛至遝來。據市場研究機構HIS日前公佈的數據顯示，2012年全球支援NFC功能的手機出貨量僅為1.2億台，2013年翻番至2.75億台，預計2014年將增長至4.16億部。而在國內1000多萬台的POS終端中，帶有NFC功能的已經超過了300萬台。

　　日前，興業銀行聯合中國聯通推出的“手機錢包”可在全國各類消費場所帶有銀聯“閃付”標識的POS機上使用，消費者只需將已開通“手機錢包”功能的手機靠近POS機上“閃付”感應區一刷即可。除“閃付”功能外，該行“手機錢包”還提供充值、查詢明細等服務，使手機成為集通訊上網、日常消費支付、銀行卡管理三大功能于一身的智慧服務平臺。據了解，已有包括工農中建交、招行、浦發、光大、中信、興業、南京銀行等多家銀行陸續推出基於NFC的手機錢包業務。

　　在不久前舉行的首屆城市建設資訊技術産品博覽會上，支付寶錢包聯合住建部推出了城市一卡通服務，支付寶錢包通過與NFC手機廠商合作，將手機變成公交一卡通，可實現公交、地鐵、計程車等各類出行方式，目前覆蓋35個城市。不過目前支援城市一卡通的手機僅包括OPPON1、OPPON1mini以及OPPOFind7，預計到年底將全面支援市場上主流的NFC手機。

　　除了銀行與第三方支付企業，三大運營商也紛紛發力NFC手機支付業務。在上海，上海移動和申通集團及一卡通公司聯合推出了“移動NFC手機一卡通”，用戶使用支援NFC的手機，就可以“刷手機”乘地鐵、輪渡、公交。此外，中國聯通攜手招商銀行推出“聯通招行手機錢包”，中國電信也推出了“天翼手機錢包”和“翼支付”應用……此外，央行也正在加快建立國內移動支付技術檢測認證體系，促進商業銀行、通信運營商、中國銀聯的NFC移動支付合作進程。

　　警惕！變身為潛在的“窺視鏡”

　　與NFC有關的利好消息不絕於耳，但前段時間媒體報道的NFC安全漏洞消息，也讓躍躍欲試的嘗鮮者心存疑慮。

　　不久前有多家媒體曝出新聞稱：打開NFC功能的手機通過觸碰IC銀行卡，可自動讀取銀行卡的交易資訊！這些説法絕非危言聳聽。有媒體記者通過實驗發現，只需將帶有IC晶片的銀行卡正面朝上放在桌上，隨後將手機背面輕輕貼上，一秒鐘後，支付寶錢包自動跳出，打開“讀取結果”頁面，會準確顯示銀行卡的發卡行、電子現金餘額、使用次數等資訊，並顯示卡號的最後4位數。接著，點開“開通快捷支付”或“轉賬到該賬戶”，原本部分隱匿的銀行卡號完全暴露出來。如果將銀行卡放在褲袋中，被識別的概率非常高，識別過程往往在1秒內就能完成，人們很有可能在與他人擦肩而過時，被其他手機“偷走”資訊。

　　某第三方支付的技術專家透露，用手機查看銀行卡資訊需要滿足4個條件：手機支援並打開了NFC功能，銀行卡為IC卡，手機內安裝了可識別NFC的軟體；手機和銀行卡的距離足夠近（通常在5釐米左右）。“NFC一直被拿來與藍芽做比較，如果説藍芽是相親大會，你是站在一個滿是姑娘的大廳裏；那麼NFC則是‘幽會’，你只和離自己最近的那一個配對。”該安全專家介紹。

　　儘管從目前來看，手機能通過NFC功能“掃”出一些銀行卡資訊，但是還處於“窺視”的階段，並未出現挪用和盜取的案例。但是，從資訊安全的角度而言，足以令人憂心忡忡了。

　　危險！手機變成駭客“肉雞”？

　　除了資訊洩露的隱患，NFC面臨的另一大威脅是來自駭客攻擊。前美國安全局局分析師查理-米勒曾在一次會議上，向人們演示了驚人一幕：他利用NFC功能，輕鬆地將一部智慧手機變成了“肉雞”（也稱傀儡機，是指可以被駭客遠端控制的機器），並讓這部手機自動訪問惡意網站。

　　米勒在演示中説，“我只需要準備一個NFCTag（挂飾），然後和你的手機觸碰或靠近你的手機，你的手機將自動打開瀏覽器，手機按照我在NFC挂飾中輸入的指令去執行一系列任務。”米勒還發現，安卓手機的Beam數據分享應用可以被動接收網頁連結或在未經用戶允許下載文件，駭客只需用NFCTag接觸目標用戶的手機，就可以在用戶手機中植入惡意程式、或打開惡意網頁。

　　360手機安全專家同時指出：NFC支付中另一個令人憂慮的是“中間人攻擊”，即駭客通過在一台手機上安裝某種形式的間諜軟體或惡意軟體，通過NFC功能，感染其他手機，隨著這種病毒式的持續擴散，讓更多人遭受損失。

　　防範：個人防範和標準發展並行

　　儘管NFC支付面臨一定的隱患，但危險並非無法防範。由於NFC支付對於周邊環境有非常嚴格的要求，不僅兩者距離必須在5釐米以內，同時銀行卡必須直接貼在手機背面的NFC區域內，才能準確讀取數據，如果將銀行卡放在錢包裏，或者放入公文包、手包中，讀取難度會非常大。銀率網理財分析師毛亞斌建議，持卡人需妥善保管好IC晶片卡，時刻警惕並防止個人資訊洩露，為了安全起見，可以使用專門的防磁卡包或者使用比較厚的錢包。銀行卡一旦丟失，應及時挂失補辦，避免被盜用。

　　同時，毛亞斌指出，為更好保護消費者權益，相關部門應對銀行IC晶片卡的存寫內容或NFC手機讀取規則加以逐步規範，建立手機銀行和第三方支付平臺的行業標準，保障持卡人合法權益。“譬如規定NFC手機可讀取哪些銀行卡的內容，而哪些內容不能讀取；或者將綁定手機的銀行卡及未綁定手機的銀行卡的讀取許可權予以區分。

　　銀行方面建議，NFC自動顯示交易記錄的功能，目前還無法修改。用戶可以在手機設置裏將NFC功能關閉，或者儘量使手機離晶片卡遠點。

　　而從防範駭客攻擊的層面而言，目前暫沒有更多辦法，專家建議用戶在下載NFC支付類軟體時應從正規渠道選擇官方版本，以免手機中毒，同時經常使用專業殺毒軟體，對手機進行掃殺毒。

　　NFC作為一款新生的技術，在其快速發展的同時，也面臨著許多不可避免的安全漏洞，這些漏洞會給駭客們帶來可乘之機。不過，在曲折的發展過程中，安全防範技術也會不斷提升。這場魔高一尺、道高一丈的比拼，最終會推動NFC不斷前行。

　　什麼是NFC

　　NFC由飛利浦半導體（現恩智浦半導體）、諾基亞和新力共同研製開發，其基礎是RFID及互連技術。它是一種短距高頻的無線電技術，在13.56MHz頻率運作于20釐米距離內。

　　為了推動NFC的發展和普及，業界創建了一個非營利性的標準組織——NFCForum，以促進NFC技術的實施和標準化，確保設備和服務之間協同合作。NFCForum在全球擁有數百個成員，包括諾基亞、新力、飛利浦、LG、摩托羅拉、NXP、NEC、三星、Intel等業界巨頭。NFCForum的中國成員有魅族、步步高vivo、OPPO、小米、中國移動、華為、中興等公司。

　　NFC主要有兩種工作模式，“卡模式”和“點對點”模式。其中“卡模式”目前已經相當普及，它可以替代我們生活中大量的IC卡（包括信用卡），適合商場刷卡、公交卡、門禁管制、車票、門票等。此種方式下，卡片可以通過非接觸讀卡器的RF域來供電，即便是寄主設備（如手機）沒電也可以工作。

　　另一種“點對點”模式和紅外線傳輸技術接近，可用於不同設備間的數據交換，其優點是傳輸識別速度和傳輸速度較快，功耗低。比如將兩台具備NFC功能的設備連結，就能實現數據的點對點傳輸，如下載音樂、交換圖片或者同步設備地址薄。

　　NFC的三大功能

　　NFC銀行卡應用

　　通過手機錢包進行銀行卡應用的空中動態下載（開通）、餘額查詢、交易記錄查詢、圈存等操作，並在金融服務提供商的POS機具上刷NFC手機並使用特定的銀行卡進行支付。用戶不需要再攜帶銀行卡，只需要把自己所需要的銀行卡資訊“寫”入手機的SIM卡中。

　　NFC公交卡應用

　　目前最為廣泛的一種應用。用戶通過手機錢包進行公交卡應用的動態下載（開通）、餘額查詢、公交卡充值等操作，並在公交POS機具上刷NFC手機支付公交費用、在公交卡的合作商戶刷NFC手機進行消費等。

　　NFC會員卡/優惠券應用

　　用戶通過手機錢包進行會員卡動態辦理、優惠券動態訂購等操作，並在關聯商戶處進行會員身份識別和使用優惠。運營商可以與商場、麥當勞、便利店合作，將用戶林林總總的會員卡、優惠券等寫入手機SIM卡中，方便用戶使用。

　　管好你的NFC手機

　　■持卡人需妥善保管好IC晶片卡，使用專門的防磁卡包或者使用比較厚的錢包。

　　■由於NFC自動顯示交易記錄的功能目前還無法修改，銀行建議用戶平時可以在手機設置中將NFC功能關閉，或者儘量讓帶NFC功能的手機離晶片卡。

　　■專家建議，為更好保護消費者權益，相關部門應對銀行IC晶片卡的存寫內容或NFC手機讀取規則加以逐步規範，建立手機銀行和第三方支付平臺的行業標準，保障持卡人合法權益。“譬如規定NFC手機可讀取哪些銀行卡的內容，而哪些內容不能讀取；或者將綁定手機的銀行卡及未綁定手機的銀行卡的讀取許可權予以區分。

　　為防NFC“泄密”iPhone6用上令牌技術

　　北京時間9月10日淩晨，蘋果發佈iPhone6和智慧手錶，相比此前的iPhone系列手機，其重要的特色在於增加了NFC功能。和市面上其他的NFC支付一樣，消費者只需在收銀臺之前揮一揮iPhone6，即可完成支付。蘋果表示，通過加速商戶收銀臺的支付過程，最終能夠讓消費者拋棄口袋中的錢包，用智慧手機主導支付。

　　為了保障NFC支付安全，蘋果採用了安全級別更高的令牌技術。令牌技術將會生成一次性使用的安全碼，就算惡意的第三方攔截到這一資訊，也無法通過它來進入用戶的賬戶或者金錢。為了支援iPhone 6的這項新技術，零售店將需要升級現有的NFC收銀終端。

　　蘋果網際網路軟體和服務高級副總裁Cue表示，為打消用戶的顧慮，iPhone6不會存儲用戶的銀行卡號碼，所以即使手機丟了，也沒有必要去登出銀行卡，用戶可以通過Findmy i Phone來關閉所有的支付功能。Cue表示，“蘋果不會建立一個收集用戶數據的業務。蘋果不知道你購買了什麼，在哪買的，或者為這個商品支付了多少錢。”

　　無獨有偶，在iPhone6之前，已經有人在安卓手機上開發了基於NFC和令牌技術的身份認證系統，用戶訪問站點進行註冊時，將獲得唯一的手機令牌並存于帶有加解密功能的手機中；下次訪問站點進行身份認證時，用戶可通過手機直接在Web站點進行身份認證，也可通過NFC技術將手機令牌傳于PC機，使用戶可以在PC機上利用手機進行身份認證。