閃付卡重放攻擊研究與PBOC3.0協(xié)議漏洞分析

閆 萌，鄒俊偉，劉亞輝，馮 釩，朱 翀

(北京郵電大學(xué) 電子工程學(xué)院 通信與網(wǎng)絡(luò)研究中心，北京 100876)

0 引 言

近年來，越來越多的企業(yè)開始采用非接觸式智能卡代替手輸密碼、磁條卡或紙質(zhì)票卡，如公交卡、大學(xué)學(xué)生卡等。非接觸式支付也隨之越來越普及[1]。閃付(quick pass)，是中國銀聯(lián)金融IC卡的非接觸式支付產(chǎn)品應(yīng)用，是一種新興支付方式，可以使銀行卡持有人進(jìn)行快速的小額支付，而無需輸入用戶名和密碼。這種支付方式在當(dāng)今快節(jié)奏的生活中很受歡迎，但同時閃付技術(shù)也逐漸面臨著安全威脅，大量用戶的敏感信息面臨著泄露的風(fēng)險。由于閃付技術(shù)是以NFC(near field communication，近場通信)技術(shù)為支撐，因此，針對NFC通信可能使用的攻擊方式(如竊聽、數(shù)據(jù)損壞、中繼攻擊、重放攻擊等)都需要警惕[2]。

基于NFC技術(shù)的電子錢包應(yīng)用Google wallet，已被研究人員破解[3-4]。而其他支持NFC技術(shù)的手機(jī)，也有研究人員對其進(jìn)行了破解，并找到了手機(jī)安全模塊的漏洞[5-6]。以上相關(guān)信息表明，NFC支付的安全漏洞，越來越成為攻擊者的目標(biāo)。對此，文中針對閃付技術(shù)中個人隱私可能的泄露點(diǎn)，及針對含有‘QuickPass’標(biāo)識的銀聯(lián)芯片卡(簡稱‘閃付卡’)的可能攻擊方式，重放攻擊，展開討論。

1 NFC技術(shù)概述及NFC支付

隨著通信技術(shù)和金融業(yè)的高速發(fā)展，NFC技術(shù)開始逐漸為人所熟知。它由RFID技術(shù)(radio frequency identification,非接觸式射頻識別技術(shù))演變而來，是一種用于短距離內(nèi)的高頻無線電通信技術(shù)。應(yīng)用了NFC技術(shù)的芯片卡如公交卡、校園一卡通以及帶NFC功能的銀行卡等可在短距離內(nèi)識別兼容設(shè)備，進(jìn)行數(shù)據(jù)交換，有一定的智能性。由于很多大范圍系統(tǒng)都會使用NFC芯片卡，故針對NFC芯片卡的各類標(biāo)準(zhǔn)也應(yīng)運(yùn)而生。

EMV標(biāo)準(zhǔn)是全球統(tǒng)一的對于支持NFC技術(shù)的銀行卡，也針對非接觸式智能卡，以及與其進(jìn)行交互所需要的終端所制定的標(biāo)準(zhǔn)。“閃付”是中國銀聯(lián)的非接觸式支付產(chǎn)品及應(yīng)用，支持由EMV標(biāo)準(zhǔn)結(jié)合國情改進(jìn)而來的PBOC3.0標(biāo)準(zhǔn)，其最大特征就是小額免密支付。因契合人們對快捷、高效支付的需求，銀聯(lián)“閃付”作為一種新興支付方式發(fā)展迅猛。截至2014年一季度末，全國支持閃付服務(wù)的NFC終端已有近300萬臺。

隨著閃付技術(shù)的高速發(fā)展，其安全問題也日益受到關(guān)注。由于閃付技術(shù)小額免密的特點(diǎn)，大部分閃付卡在接觸式電子現(xiàn)金以及非接觸PBOC環(huán)境下，都不需進(jìn)行動態(tài)驗(yàn)證就可完成交易。文獻(xiàn)[1,7-8]對EMV規(guī)范體系的安全性進(jìn)行了探討，并指出EMV規(guī)范的安全性和可能存在的漏洞。此外，也有許多研究者指出，NFC技術(shù)易遭受竊聽、數(shù)據(jù)損壞、中繼攻擊、重放攻擊等的威脅[2]，并提出了一些解決方案，如電磁屏蔽等[6]。

重放攻擊是文中研究的重點(diǎn)。所謂重放攻擊，就是攻擊者通過竊聽或者其他方式獲得一個目的主機(jī)已接收過的包，并將其重新發(fā)送給對方，來達(dá)到欺騙對方的目的，主要用于身份認(rèn)證過程。這種攻擊方式可以繞過復(fù)雜的加解密過程，因而難于防范。文中基于PBOC規(guī)范規(guī)定的交互指令以及所設(shè)計的重放攻擊模型，使用PN532模擬中間閱讀器和中間標(biāo)簽，造成合法通信的假象，從而截取NFC閱讀器讀取閃付卡與收單方之間的通信數(shù)據(jù)。針對電子現(xiàn)金的消費(fèi)功能，進(jìn)行模擬攻擊。

2 重放攻擊模型及通信協(xié)議設(shè)計

2.1 重放攻擊模型設(shè)計

構(gòu)建的重放攻擊模型如圖1所示。reader與主機(jī)和ecard共同構(gòu)成攻擊方，啟用NFC技術(shù)與閃付卡進(jìn)行APDU指令交互，對閃付卡與收單方合法通信進(jìn)行監(jiān)聽并截留通信數(shù)據(jù)。卡片認(rèn)為reader即是與其進(jìn)行合法通信的收單方，與其進(jìn)行數(shù)據(jù)交換。由終端發(fā)送指令給攻擊者借此獲得閃付卡與收單方之間通信的合法APDU，再將監(jiān)聽到的APDU寫成腳本，由主機(jī)假扮合法收單方欺騙閃付卡，與之進(jìn)行通信。在該研究中，收單方即指支持閃付功能的POS(point of sale,銷售終端)終端。

圖1 重放攻擊模型

在該模型中，設(shè)計以PC機(jī)作為主機(jī)，reader端由Arduino uno芯片組和NFC-shield組成，ecard由一個Arduino操縱的PN532模塊充當(dāng)。系統(tǒng)由PC機(jī)在相關(guān)程序的支撐下，reader和ecard端探測智能卡設(shè)備并進(jìn)行轉(zhuǎn)發(fā)。所接收到的數(shù)據(jù)，也即閃付卡與收單方之間進(jìn)行交互的APDU顯示在PC機(jī)屏幕上。

2.2 模型通信協(xié)議設(shè)計

模型中所設(shè)計的通信協(xié)議包括兩個部分：請求和響應(yīng)。模型中每個部分中間的數(shù)據(jù)交互都要遵循這個協(xié)議，有請求必有回應(yīng)。協(xié)議中數(shù)據(jù)的格式符合銀聯(lián)PBOC3.0協(xié)議。

請求報文是收單方向閃付卡所發(fā)送的報文，格式見圖2，由一個4字節(jié)長的必備頭與其后的一個變長的條件體組成。請求報文發(fā)送的數(shù)據(jù)長度用Lc(命令數(shù)據(jù)域的長度)表示，期望返回的數(shù)據(jù)字節(jié)數(shù)用Le(期望數(shù)據(jù)長度)表示。當(dāng)Le存在且值為0時,表示要求可能的最大字節(jié)數(shù)(≤256)。在應(yīng)用選擇中給出的讀記錄(READ RECORD)命令、選擇(SELECT)命令中，Le應(yīng)該等于“00”[9]。

CLAINSP1P2LcDataLe必備頭條件體

圖2 請求報文格式

響應(yīng)報文是閃付卡回應(yīng)收單方請求所發(fā)送的報文，格式見圖3，由一個變長的條件體及其后兩字節(jié)長的尾部組成。SW1、SW2是響應(yīng)報文的結(jié)尾，表示請求報文的處理狀態(tài)。在處理成功時，SW1、SW2為固定值9 000[1]。

DataSW1SW2條件體必備尾

圖3 響應(yīng)報文格式

3 閃付卡安全漏洞分析

通過對招商銀行及農(nóng)業(yè)銀行閃付卡的監(jiān)聽，得到了用戶在交易過程中需要提供的各種身份數(shù)據(jù)，接下來將借此探究PBOC3.0協(xié)議的漏洞以及對閃付卡實(shí)施重放攻擊的可能性。在合法通信的過程中，所有數(shù)據(jù)報文的格式都遵循PBOC3.0規(guī)范。

由于卡內(nèi)大部分記錄讀取權(quán)限為自由[1]，攻擊者可任意對包含用戶敏感信息的閃付卡內(nèi)的數(shù)據(jù)進(jìn)行讀取。終端機(jī)通過發(fā)送APDU指令讀取信息，第一條和第二條APDU完成了閃付卡的初始化和選擇應(yīng)用的過程，第三條指令開始卡片進(jìn)入脫機(jī)狀態(tài)，即預(yù)扣款狀態(tài)。農(nóng)行和招行的前三條APDU格式基本相同。第四條指令開始讀記錄，至最后一條指令完成，卡片會完成扣款流程。

由于本次模擬攻擊中使用的兩個銀行的閃付卡都沒有對終端的合法性進(jìn)行驗(yàn)證，在模擬攻擊中，采用了攻擊者編寫腳本假扮收單方欺騙閃付卡的方式進(jìn)行攻擊，并且模擬消費(fèi)成功。

綜上所述，通過對符合PBOC3.0協(xié)議的閃付卡通信過程的監(jiān)聽，發(fā)現(xiàn)了PBOC3.0協(xié)議的兩個漏洞：

(1)在身份認(rèn)證過程中，PBOC3.0協(xié)議并未強(qiáng)制規(guī)定由閃付卡對合法性進(jìn)行認(rèn)證，閃付卡有可能與未經(jīng)授權(quán)的終端完成通信。因此利用一臺PC機(jī)編寫程序，就可以欺騙閃付卡，令其以為自己在進(jìn)行合法交易。

(2)在監(jiān)聽過程中，用戶的許多敏感信息被明文傳輸。下一部分將展示提取到的一些用戶敏感信息。并且已有團(tuán)隊(duì)的研究表明：通過讀文件指令00B2020C00，就可以獲取包含如標(biāo)簽為9F61的持卡人證件號，標(biāo)簽為5F20的持卡人姓名等敏感信息[1]。需要提及的一點(diǎn)是，由于PBOC3.0協(xié)議對閃付卡中存儲的用戶個人敏感信息內(nèi)容沒有強(qiáng)制規(guī)定，卡片中的信息完全由發(fā)卡行決定。因此，在芯片卡廣泛發(fā)行的情況下，用戶信息可能會遭到泄露。

4 重放攻擊實(shí)施結(jié)果

應(yīng)用圖1所示的模型，對招商銀行和中國農(nóng)業(yè)銀行發(fā)行的閃付卡與收單方的合法通信進(jìn)行了監(jiān)聽，并嘗試?yán)媒亓舻臄?shù)據(jù)包進(jìn)行重放攻擊。

圖4 對招行閃付卡進(jìn)行攻擊的過程

圖4是對招行的閃付卡進(jìn)行重放攻擊過程中APDU及其返回值的記錄。其中“Command APDU”是主機(jī)模擬收單方發(fā)送給卡片的APDU，即請求報文；而“Response APDU”是卡片返回值，也就是響應(yīng)報文。表1列出了其中一條交互報文中幾個重要標(biāo)簽及其解析結(jié)果，其中包含了閃付卡卡片號碼和持卡人的姓名等隱私數(shù)據(jù)。

表1 招行信用卡返回響應(yīng)解析

在模擬攻擊中，利用主機(jī)監(jiān)聽并截留的交互數(shù)據(jù)，實(shí)現(xiàn)了將監(jiān)聽到的APDU寫成腳本形式來模擬收單方，自動發(fā)送，并成功實(shí)現(xiàn)卡內(nèi)電子現(xiàn)金的消費(fèi)。實(shí)際上因?yàn)殂y行后臺數(shù)據(jù)庫中并未記錄該筆消費(fèi)，在結(jié)算時恢復(fù)了卡內(nèi)脫機(jī)現(xiàn)金數(shù)目。但在此次模擬中成功欺騙了卡片，令其以為自己在與合法的收單方通信，從而成功完成了卡內(nèi)電子現(xiàn)金的消費(fèi)。選擇這種攻擊方式是由于收單方在通信中對閃付卡的合法性進(jìn)行了驗(yàn)證，持卡人驗(yàn)證方法由卡內(nèi)數(shù)據(jù)標(biāo)簽為8E的數(shù)據(jù)決定。而閃付卡在通信中，對于收單方的認(rèn)證過程相對簡單，使得欺騙能夠成功實(shí)現(xiàn)。

但同時，兩個銀行的閃付卡的82標(biāo)簽(應(yīng)用交互特征)值均為7C00,即都采用了DDA(動態(tài)數(shù)據(jù)驗(yàn)證)和SDA(靜態(tài)數(shù)據(jù)驗(yàn)證)兩種身份驗(yàn)證方式[10-13]。SDA，即靜態(tài)數(shù)據(jù)驗(yàn)證的簽名是在卡發(fā)行時就定好的，SDA加密過程中所用的私鑰是發(fā)卡行的私鑰，因此，只采用SDA驗(yàn)證方式的卡片，被人取得靜態(tài)數(shù)據(jù)后，可能被復(fù)制。而DDA每次用來簽名加密所用的私鑰是IC卡私鑰。由于DDA中需要卡片私鑰的參與，而卡片私鑰是無法被讀取的，所以閃付卡不會被完整復(fù)制，可以有效抵御偽卡[14]。

5 對抗措施分析

閃付卡由于其對小額支付的速度要求，必然犧牲一定的安全性。第三、四節(jié)展示并分析了招行閃付卡與主機(jī)間的APDU報文交互過程，并指出了重放攻擊的可能性及PBOC3.0協(xié)議存在的漏洞。針對發(fā)現(xiàn)的漏洞，主要從兩方面提出對抗措施：敏感信息的加密存儲和增加閃付卡對收單方的認(rèn)證過程。

(1)增加閃付卡對收單方的認(rèn)證過程[15]。對于本次攻擊中所發(fā)現(xiàn)的，收單方缺乏身份認(rèn)證，攻擊者假扮收單方與閃付卡進(jìn)行交易的情況，建議PBOC3.0協(xié)議中增加閃付卡對收單方的認(rèn)證過程。如學(xué)習(xí)SSL通信體制，由閃付卡生成隨機(jī)密鑰key，此key用發(fā)卡行RSA公鑰加密后發(fā)送到收單方端，再由收單方用私鑰解密得到密鑰key，通過該隨機(jī)密鑰key對收單方的合法性進(jìn)行認(rèn)證。但這種方法有可能會加大通信時間代價。

(2)信息加密存儲。對于監(jiān)聽過程中發(fā)現(xiàn)的用戶信息泄漏問題，雖然這些信息并不能直接導(dǎo)致用戶資金被盜，但仍是一個安全隱患。因此建議PBOC3.0協(xié)議強(qiáng)制避免敏感信息的明文存儲。可行的措施是：將明文讀取的用戶敏感信息如持卡人姓名等，經(jīng)過公鑰密碼體制加密后，存儲進(jìn)卡內(nèi)相應(yīng)位置，在需要時由收單方后臺(如銀行)關(guān)聯(lián)。

此外，為了對抗通信過程中的監(jiān)聽，從而對抗重放攻擊，也有研究人員提出了一些措施：如采取位置距離綁定，即通過比對節(jié)點(diǎn)間的位置來檢測其相互距離的辦法[16]；或者通過在APDU報文中加入時間戳，并丟棄傳輸時間過長的報文的方式，來確保通信始終在近場距離內(nèi)；以及通過電磁屏蔽的辦法防止監(jiān)聽[1-2]。

6 結(jié)束語

文中設(shè)計了重放攻擊的模型以及攻擊所需的通信協(xié)議，并利用PC機(jī)及附屬設(shè)備實(shí)現(xiàn)了對招商銀行和中國農(nóng)業(yè)銀行發(fā)行的閃付卡與收單方之間通信的監(jiān)聽。并利用監(jiān)聽中攔截的數(shù)據(jù)，編寫程序?qū)崿F(xiàn)了模擬攻擊。同時基于監(jiān)聽中所攔截的APDU交互報文，對其進(jìn)行分析，找出PBOC3.0協(xié)議存在的弱點(diǎn)，并提出改進(jìn)方案。而對于改進(jìn)方案的可行性，將在以后的研究中繼續(xù)探索。

參考文獻(xiàn)：

[1] 楊 卿,黃 琳.無線電安全攻防大揭秘[M].北京:電子工業(yè)出版社,2016.

[2] 羅勤文,鄒俊偉,張曉瑩.基于近場移動支付的中繼攻擊與PBOC協(xié)議安全漏洞分析[D/OL].2014.http://www.paper.edu.cn/html/releasepaper/2014/07/203/.

[3] ROLAND M,LANGER J,SCHARINGER J.Practical attack scenarios on secure element-enabled mobile devices[C]//Proceedings of 4th international workshop on near field communication.Washington,DC,USA:IEEE Computer Society,2012:19-24.

[4] ROLAND M,LANGER J,SCHARINGER J.Applying relay attacks to Google Wallet[J]//Proceedings of the 5th international workshop on near field communication.Washington,DC,USA:IEEE Computer Society,2013:1-6.

[5] CHA B,KIM J.Design of NFC based micro-payment to support MD authentication and privacy for trade safety in NFC applications[C]//Proceedings of seventh international conference on complex,intelligent,and software intensive systems.Washington,DC,USA:IEEE Computer Society,2013:710-713.

[6] MULLINER C.Vulnerability analysis and attacks on NFC-enabled mobile phones[C]//Forth international conference on availability,reliability and security.[s.l.]:[s.n.],2009:695-700.

[7] 劉 淳,范曉紅,張其善.EMV規(guī)范的安全框架分析[J].遙測遙控,2006,27(2):68-72.

[8] 劉 淳,張其善.EMV規(guī)范中的密鑰管理[J].遙測遙控,2006,27(1):67-70.

[9] Technology Department. China financial integrated circuit(IC) card specifications (PBOC 3.0)[J].中國標(biāo)準(zhǔn)化:英文版,2013,60(3):84-87.

[10] 杜 磊,李增局,彭 乾,等.金融IC卡規(guī)范脫機(jī)動態(tài)數(shù)據(jù)認(rèn)證的漏洞研究[J].計算機(jī)工程與科學(xué),2016,38(10):2070-2076.

[11] 朱建新,朱立國.基于EMV標(biāo)準(zhǔn)的金融IC卡安全框架設(shè)計與實(shí)現(xiàn)[J].微計算機(jī)信息,2007,23(30):65-67.

[12] 張向軍,陳克非.基于PBOC智能卡的匿名可分電子貨幣協(xié)議[J].計算機(jī)應(yīng)用,2009,29(7):1785-1789.

[13] 彭 乾,李增局,史汝輝.EMV應(yīng)用密文的差分錯誤注入分析[J].網(wǎng)絡(luò)與信息安全學(xué)報,2016,2(4):64-72.

[14] BOND M,CHOUDARY O,MURDOCH S J,et al.Chip and skim:cloning EMV cards with the pre-play attack[C]//IEEE symposium on security and privacy.Washington,DC,USA:IEEE Computer Society,2014:49-64.

[15] 郎春華,王小海,趙云峰.中國金融IC卡規(guī)范對EMV的支持性研究[J].浙江大學(xué)學(xué)報:理學(xué)版,2007,34(1):46-49.

[16] BOUKERCHE A,OLIVEIRA H A B F,NAKAMURA E F,et al.Secure localization algorithms for wireless sensor networks[J].IEEE Communications Magazine,2008,46(4):96-101.