譯者 | 陳峻

在夏邑等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強(qiáng)發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供網(wǎng)站制作、網(wǎng)站建設(shè) 網(wǎng)站設(shè)計(jì)制作按需定制,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),高端網(wǎng)站設(shè)計(jì),成都全網(wǎng)營銷推廣,外貿(mào)網(wǎng)站建設(shè),夏邑網(wǎng)站建設(shè)費(fèi)用合理。

審校 | 孫淑娟

不知您是否注意到自己的智能手機(jī)上有一項(xiàng)名為NFC的功能。這是手機(jī)上一種十分常見的功能。它可以協(xié)助您通過Android、iOS或其他設(shè)備，實(shí)現(xiàn)非接觸式的數(shù)據(jù)傳輸，尤其是支付。不過，您是否考慮過其可能存在的安全風(fēng)險(xiǎn)呢？下面，我將和您一同探討NFC的基本原理，以及Drive-By NFC的相關(guān)安全性問題與處置對策。

1.什么是NFC? 

NFC是Near-Field Communication（近場通信）的首字母縮寫，是在物理上相近的設(shè)備之間相互通信的一種方式。由于NFC通常只能在幾厘米的范圍內(nèi)工作，因此若要使用它，您需要將待通信的兩個(gè)設(shè)備靠得比較近。智能手機(jī)是NFC的典型應(yīng)用場景。您可以使用基于電話（phone-based）的支付系統(tǒng)，通過手機(jī)上的NFC標(biāo)簽，去支付一杯咖啡的費(fèi)用。

2.什么是RFID？

您可能也聽說過另一種與NFC類似的技術(shù)--RFID。它是Radio Frequency Identification（射頻識別的）首字母縮寫，是一個(gè)由小型無線電轉(zhuǎn)發(fā)器、接收器、以及發(fā)射器組成的系統(tǒng)。當(dāng)然，您也可能看到過與之相關(guān)的標(biāo)簽、讀取器件、以及天線等。從零售商店的服裝標(biāo)簽到各個(gè)建筑物和辦公室的門禁卡，該技術(shù)得到了廣泛的使用。同時(shí)，它也能夠被用于區(qū)分寵物、或監(jiān)控進(jìn)出停車場的車輛。此外，RFID的另一個(gè)典型使用場景是，在公共交通工具上使用的預(yù)付卡。您不難在非接觸式卡片中找到RFID芯片。不過，由于RFID并不使用加密技術(shù)，因此它并不安全。如今，市場上充斥著各種針對支持錢包或卡片予以“RFID屏蔽”的大肆宣傳。諸如RFID skimmers之類的工具，便可以讓黑客從附近的物體（如卡片）中，讀取RFID數(shù)據(jù)，進(jìn)而竊取用戶敏感的信息。

3.NFC和RFID的關(guān)系 

其實(shí)，上面提到的NFC是RFID的一個(gè)子類型，它會更加安全一些。NFC使用加密技術(shù)，來保證數(shù)據(jù)的安全。我們?nèi)粘Ｊ褂玫降母鞣N手機(jī)付款的應(yīng)用程序（如Apple Pay）就使用的是NFC。同時(shí)，諸如ArmourCard之類的公司，已經(jīng)創(chuàng)建出了使用NFC技術(shù)的ArmourCELL系列產(chǎn)品，將NFC芯片變成信號干擾器（jammer）來保護(hù)用戶的數(shù)據(jù)。

4.NFC也并不是絕對安全的 

盡管NFC比其他類型的RFID更為安全一些，但是它仍然存在著缺陷，畢竟在設(shè)計(jì)之初，人們考慮得更多的是連接的便利性，而非安全性。就NFC協(xié)議本身而言，距離近是有效傳輸?shù)谋匦钘l件。也就是說，只有某個(gè)支持NFC的發(fā)射設(shè)備（如：手機(jī)）與支持NFC的讀取器（如：另一部手機(jī)）在足夠近的范圍內(nèi)相互觸碰、輕敲或滑動(dòng)時(shí)，連接就算是有效了。當(dāng)然，您也許注意到了，上面提到的動(dòng)作中并沒有密碼或信任憑據(jù)的輸入。NFC的連接是自動(dòng)建立的，根本不需要像Wi-Fi那樣，需要額外地輸入任何登錄名或密碼。這是NFC協(xié)議的缺陷，而且會引發(fā)一個(gè)實(shí)際問題：任何人只要離您的設(shè)備足夠近，無論是惡意觸碰，還是合理觸碰（例如使用Google Wallet進(jìn)行付款時(shí)），都可以迅速地與您建立NFC連接，進(jìn)而導(dǎo)致NFC黑客攻擊的得逞。

5.黑客如何實(shí)現(xiàn)NFC攻擊？ 

如前文所述，基于便利性連接的NFC在觸碰過程中，可能會將病毒、惡意軟件、以及其他惡意文件從一臺設(shè)備上傳并轉(zhuǎn)移到被觸碰的設(shè)備上。而如果被觸碰設(shè)備的NFC在配置上不夠安全的話，該設(shè)備上的文件就會被自動(dòng)打開甚至截獲。這就像您的計(jì)算機(jī)被自動(dòng)打開了瀏覽器，并從互聯(lián)網(wǎng)上下載了任意文件，進(jìn)而通過自動(dòng)化的點(diǎn)擊，讓其自動(dòng)安裝惡意軟件一樣。一旦此類惡意應(yīng)用程序在后臺運(yùn)行，您的手機(jī)會將銀行PIN碼、信用卡號碼、以及密鑰口令等敏感信息，自動(dòng)轉(zhuǎn)發(fā)給世界上某個(gè)隱蔽角落的未授權(quán)獲取的黑客。與此同時(shí)，不明的病毒也可能會進(jìn)一步通過設(shè)備上的其他漏洞，讓惡意用戶獲取設(shè)備上的完全權(quán)限，以讀取您的電子郵件、文本、照片、以及第三方應(yīng)用所持有的數(shù)據(jù)。在獲取了敏感信息后，如果NFC標(biāo)簽被隱藏在手機(jī)可能被觸碰到，而又不太顯眼的地方，NFC的數(shù)據(jù)傳輸就可以在用戶不知情的狀態(tài)下進(jìn)行。例如：黑客組織Wall of Sheep就曾用帶有NFC標(biāo)簽的各種海報(bào)和按鈕，證明了此類傳輸?shù)碾[蔽性。此外，雖然NFC標(biāo)簽的工作范圍通常不超過幾厘米，但是有研究證明，即使在30到40米的距離內(nèi)，您仍可能遭受NFC黑客攻擊。業(yè)界管這種情況叫做“竊聽（eavesdropping）”。

6.NFC可以被用來進(jìn)行ATM黑客攻擊嗎？ 

近年來，NFC黑客已經(jīng)變得更加高級，黑客甚至可以通過非接觸的方式，向某些ATM揮動(dòng)Android手機(jī)，實(shí)現(xiàn)入侵ATM的目的，并使之吐出錢來。此類技術(shù)往往被稱為jackpotting攻擊。過去黑客為了達(dá)到此類目的，不得不通過USB端口、甚至在機(jī)器上開洞，以進(jìn)入其內(nèi)部，并安裝惡意軟件。如今，他們只需將手機(jī)靠近那些具有某些編程與安全漏洞的特定ATM，即可實(shí)現(xiàn)類似破解NFC卡的效果。

7.如何保護(hù)自己免受Drive-By NFC攻擊 

如今，隨著應(yīng)用場景的升級與迭代，非接觸式支付已經(jīng)成為了主流，我們有必要從如下方面入手，來提升NFC的安全性。

• 區(qū)分您的敏感帳戶。如果您想使用NFC設(shè)備，并通過Google電子錢包來實(shí)現(xiàn)快速支付的話，請為其設(shè)置一個(gè)單獨(dú)的NFC帳戶。據(jù)此，即使您的手機(jī)遭到入侵，并導(dǎo)致Google電子錢包被盜，那么您可能僅損失的是單個(gè)虛擬帳戶里的金額，而不是與銀行關(guān)聯(lián)的主要常用帳戶。
• 在不使用NFC時(shí)將其關(guān)閉。如果您是智能手機(jī)等移動(dòng)設(shè)備的重度使用者，而且經(jīng)常光顧人員密集的場所，那么此舉可以防止在意外觸碰的過程中，將不需要的程序、或惡意軟件傳入您的設(shè)備。
• 定期檢查自己的設(shè)備是否存在惡意軟件，并保持及時(shí)更新，特別是在您使用了NFC之后。雖然我們無法與Drive-By NFC攻擊完全“絕緣”，但是您一旦發(fā)現(xiàn)在任何支付前后的可疑之處，請立即更改支付密碼和安全憑證。

8.小結(jié) 

綜上所述，由于NFC缺乏密碼保護(hù)等安全機(jī)制，因此黑客可以通過Drive-By NFC的方式，獲取目標(biāo)設(shè)備上的敏感數(shù)據(jù)，而這往往是在神不知鬼不覺的情況下發(fā)生的。因此，我們需要做好相應(yīng)的防范措施。

網(wǎng)站題目：Drive-ByNFC是如何工作的?
路徑分享：http://uogjgqi.cn/article/dhhpdeo.html