[新闻] 两款APP 5秒窃取你的信用卡个资

楼主: lca738 (RJ)   2015-11-19 11:05:32
http://www.cw.com.tw/article/article.action?id=5072515
作者:卢沛桦 2015-11-18 Web Only
两款手机APP只要靠近感应式信用卡,就能读取信用卡个资。
这件事情最近在香港引起恐慌,民众群起土法炼钢,用锡箔纸包住信用卡。
香港记者实测,任何人都可以下载这两款APP,而且确实5秒之内就可以读取信用卡个资。
当无现金交易的世界正成为多国政府与各家银行追求的目标,
随身包包里的信用卡个资外泄风险也在急遽升高。
最近香港民众正陷入长考:到底要将皮包里的感应式信用卡弃置不用,
还是土法炼钢般拿锡箔纸包裹信用卡,以防止重要个资外泄;
甚至有人建议银行干脆取消感应式付款的功能。
香港人的这股恐慌,起因于上个月中旬,香港部分银行向持卡人发出提醒,
部分手机App靠近感应式信用卡,会读取持卡人姓名、卡号、有效日,
甚至是交易纪录等资料。
香港资讯科技商会荣誉会长方保侨向大众示警,这类Apps若被不法分子使用,
可将盗取的信用卡资料,在一些资安保障较低的网站购物,然后转售套现。
包括HKTVmall、日本乐天、Amazon及美心西饼等网站,只要有持卡人姓名、卡号
及有效日期,就能购物,不需要输入验证码。
而会读取信用卡个资的两款手机App,是“Banking Card Reader”、“Cardtest”。
目前这两款App仅在Android手机商店提供下载,任何人都能下载使用。
香港记者实测发现,打开这两款App,不到五秒,就能轻易读取信用卡内的个资。
并不是所有信用卡都在这波资料外泄疑云名单之中,主要是内建NFC(近距离无线通讯)
功能的感应式信用卡,如MasterCard的PayPass、VISA的PayWave等。
经香港金管局调查,一共有七家发卡银行的信用卡未符合金管局的安全要求,
包括持卡人姓名与交易纪录可被非法读取。金管局已下令涉事银行回收信用卡。
七家银行包括中银香港、交银香港、中信银行(国际)、工银亚洲、永隆银行、星展(香
港)及大新银行,其中有五家为香港中资银行。
VISA国际发卡组织台湾区总经理麻少华指出,此次争端主要是持卡人姓名外泄。
他说,香港政府在2012年规定,感应式信用卡线圈不可放入持卡人姓名,
避免遭有心人士读取、盗用。他说,VISA一年前已强制规定银行不可以放入姓名,
目前市面上流通含有姓名的是较早发行的旧卡。
业界人士则透露,一般银行制卡要遵守国际发卡组织的规定,
但制卡厂未必完全埋单或有疏失。
讽刺的是,让香港人心惶惶的读卡App,却一副置身事外的姿态。
读卡App“Cardtest”在开发说明中这么写着:“我出于好奇设计了这款demo app,
为的是了解内建NFC的信用卡会提供多大程度的资料给一个随机的读卡App。
结果显示,感应式信用卡被读取的资料就跟你看到的信用卡正面一样多。”
另一款“Banking Card Reader”则强调自己不能用于支付。
这起风波暂时还不会落幕。
中银直到这个中旬,才要为所有受影响的信用卡户更换不具备感应式功能的信用卡;
明年1月,才能提供新版感应式信用卡。香港网站已出现不少教民众自保的手段,
例如拿锡箔纸包覆信用卡片。
数位金融革命,意外让锡箔纸业因祸得福。
作者: blueberrypie (我爱樱桃派)   2015-11-19 11:06:00
感觉NFC是关键~@@?!
作者: bignoob (有我嫩嗎)   2015-11-19 11:07:00
卡片里面没加密的东西有哪些才是关键
作者: blueberrypie (我爱樱桃派)   2015-11-19 11:09:00
我也下载来玩玩看好了~
作者: flypenguin (企鹅)   2015-11-19 11:10:00
不意外就是… 要全面加密的话刷卡机建置成本很高
作者: blueberrypie (我爱樱桃派)   2015-11-19 11:11:00
:(~我的手机什么都读不出来QQ~
作者: snownow (雪纹)   2015-11-19 11:32:00
所以说就是...打开NFC 在人多时随机贴近别人包包/口袋?
作者: blueberrypie (我爱樱桃派)   2015-11-19 11:42:00
(题外话,我有开NFC阿QQ)不知道为啥就是读不到=_=~(是手机问题吗?)突然读出来了~哈哈。真的可以看到卡号、有效日期、发卡组织等等~XD
作者: a0913 (沒救的貓奴)   2015-11-19 11:56:00
手上一堆感应卡@@
作者: lookjason (lookjason)   2015-11-19 11:58:00
iPhone有这个问题吗? XDDDDD
作者: claymath (轮回的印记 藏在我眉宇)   2015-11-19 12:06:00
爱疯的NFC还没开放给外面的程式使用
作者: Go2 (勾兔)   2015-11-19 12:29:00
目前iPhone的NFC只给apple pay 使用
作者: lookjason (lookjason)   2015-11-19 12:29:00
原来如此
作者: siopp (人参阿~)   2015-11-19 12:37:00
这不是问题吧 是拿android有NFC的才能去读取别人的信用卡资料
作者: ytls (亚特雷斯)   2015-11-19 12:38:00
这些app 会不会蒐集资料,然后…
作者: cityport (马路不平避震故障)   2015-11-19 12:43:00
Apple Pay上的卡号限iPhone使用..跟信用卡号码不一样用信用卡注册Apple Pay..银行会另外指派一组卡号给手机
作者: fayfaywow (fay 光)   2015-11-19 12:45:00
Card test这个程式我刚刚试过,我手上JCB的读不到,Master的不会显示全部卡号。还有很多code...(这个程式只说可以支援v, m, 还有美国运通的卡)但Banking Card Reader... 我手上的JCB, Master, 开启后皆可以读到16位卡号与实际有效期……但没有持卡人资讯好像还有另一个app也有类似的功能,但我没测试
作者: cityport (马路不平避震故障)   2015-11-19 12:47:00
所以Apple Pay完全不会有这篇新闻中的问题
作者: fayfaywow (fay 光)   2015-11-19 12:47:00
补充,我趁吃饭时间测试时是拿一只有NFC的手机,已把网络与手机讯号都关闭,然后才开NFC与app测试……
作者: cityport (马路不平避震故障)   2015-11-19 12:48:00
安卓Pay是否也是同样使用虚拟卡号..则还请用过的人补充
作者: aoc902001 (寂寞北极星)   2015-11-19 13:01:00
这是旧新闻?上面app很早就有了。
作者: snownow (雪纹)   2015-11-19 13:20:00
可能是最近才有人试图用此app犯罪?因为只要有这个,你完全可以利用此功能在人潮多的地方不着痕迹的偷人信用卡
作者: bignoob (有我嫩嗎)   2015-11-19 13:45:00
重点不是在读取器 是在卡上资讯没加密读取器可以用多种方式建置 APP只是其中一种
作者: ithinksoiam (☁)   2015-11-19 13:57:00
请问若因此被盗刷 是算信用卡公司的还是持卡人的阿
作者: ytls (亚特雷斯)   2015-11-19 14:01:00
"盗刷"就列"争议款",银行会处理
作者: alex1973 (alex1973)   2015-11-19 14:05:00
元大爱金 JCB 艺术卡面, 竟然有纪录持卡者姓名 :(回来把所有感应卡都拿来读读看, 看那些卡可以直接读出姓名的, 以后就少带出门好了
作者: Go2 (勾兔)   2015-11-19 14:29:00
有推荐的安卓NFC app 吗
作者: alex1973 (alex1973)   2015-11-19 14:49:00
https://play.google.com/store/apps/details?id=com.github.devnied.emvnfccard我刻意不缩网址, 请自己把两段网址连起来. 以证明这是从Google Play 下载的. 这 app 只要求 NFC 权限, 没有其他奇奇怪怪权限, 所以应该不会有卡号被传出去的风险
作者: Jacky9527 (未知的旅程)   2015-11-19 15:02:00
用防侧录钱包 ??
作者: wenchien0703 (Chris Wu)   2015-11-19 15:57:00
实测元大钻金VISA爱金JCB VISA没持卡人姓名但JCB有
作者: silverkymco (三冠王)   2015-11-19 21:27:00
皮夹要准备铝箔纸包信用卡了
作者: king1412 (Roscoe)   2015-11-19 21:35:00
两张以上感应卡重叠放就感应不出来了
作者: alex1973 (alex1973)   2015-11-19 21:42:00
楼上说的方法我中午就试过了, 我是不晓得我的手机还有实验用的卡是不是特例, 我把凯基悠游联名卡和元大爱金放在一起, 结果无论是凯基这面靠近手机还是元大那面靠近手机结果手机永远都感应到凯基, 我一定要把凯基的拿走开, 手机 NFC 才感应的到元大爱金这该说凯基卡片的感应天线太强了吗 ?
作者: Go2 (勾兔)   2015-11-19 21:52:00
我华南红卡跟kgi钛金秒感应,元大卡就算把壳拿掉也用不出来。。。
作者: luoren (风轻云净)   2015-11-19 23:12:00
先离线没用喔 AAP要做到离线暂存资料 有上线再丢出很简单
作者: FWade (FW小小)   2015-11-20 07:46:00
我是用banking card reader测试,发现除了国泰现金回馈御玺卡读不到之外,其他都可以读到资料
作者: silverkymco (三冠王)   2015-11-20 09:01:00
记者还不来抄
作者: simongarden (园丁)   2015-11-20 09:13:00
离线跟权限是防君子,实测实在是很有勇气
作者: shutdown (-t0)   2015-11-20 11:58:00
再加点香料,可以做烤机

Links booklink

Contact Us: admin [ a t ] ucptt.com