安全軟件廠商McAfee警告，本月底在倫敦奧運(yùn)會(huì)使用的近場(chǎng)通信(NFC)支付測(cè)試可能存在欺詐風(fēng)險(xiǎn)。

　　在倫敦奧運(yùn)會(huì)期間，每個(gè)運(yùn)動(dòng)員都會(huì)獲得一個(gè)特殊的奧運(yùn)NFC功能的三星Galaxy SIII手機(jī)，用以在奧運(yùn)會(huì)期間支付各種費(fèi)用。然而，McAfee警告說，這項(xiàng)技術(shù)仍然不成熟，可能成為欺詐者的攻擊向量。

　　當(dāng)具有“電子錢包”應(yīng)用程序的NFC設(shè)備位于支付終端幾厘米范圍內(nèi)時(shí)，NFC支付技術(shù)使人們能夠通過無線電通信支付低價(jià)值的產(chǎn)品。

　　McAfee移動(dòng)安全研究人員Jimmy Shah在博客中寫道：“當(dāng)我們最后一次檢查NFC手機(jī)和類似應(yīng)用程序時(shí)，我們發(fā)現(xiàn)存在這樣的問題：攻擊者可能能夠追蹤應(yīng)用程序或者手機(jī)硬件以及Android操作系統(tǒng)?！?/P>

　　他補(bǔ)充說道：“在那時(shí)，我們發(fā)現(xiàn)一個(gè)PIN重置漏洞，該漏洞允許攻擊者使用免費(fèi)預(yù)付卡，以及攻擊手機(jī)中的PIN。谷歌更新了Wallet應(yīng)用程序來修復(fù)這些漏洞，使這種攻擊更加難以執(zhí)行?！?/P>

　　“現(xiàn)在攻擊者將需要利用硬件本身，雖然這并不一定涉及利用嵌入式安全芯片(Secure Element)部分。攻擊者瞄準(zhǔn)操作系統(tǒng)及其NFC處理庫，就能夠獲得不小的收獲?！?/P>

　　事實(shí)上，安全研究人員已經(jīng)發(fā)現(xiàn)了進(jìn)一步的漏洞，這些包括“模糊硬件”等，這涉及向應(yīng)用程序注入損壞的數(shù)據(jù)以發(fā)現(xiàn)其漏洞。

　　獨(dú)立安全研究人員Charlie Miller和Collin Mulliner在黑帽2009中已經(jīng)演示了如何“模糊”短信息來發(fā)現(xiàn)Android和Apple iOS操作系統(tǒng)中的漏洞。

　　“Mulliner還看到了模糊NFC標(biāo)簽，這需要開發(fā)一個(gè)Python庫以及框架來測(cè)試舊設(shè)備。近日，他更新了其軟件來測(cè)試Android設(shè)備，這允許他將精心制作的NFC標(biāo)簽注入到手機(jī)中，然后監(jiān)控結(jié)果。他還可以將損壞的NFC標(biāo)簽注入到Android的庫，然后捕捉任何崩潰或者代碼執(zhí)行機(jī)會(huì)?！?/P>

　　安全專家Bruce Schneier還警告說，智能手機(jī)將會(huì)越來越多地成為欺詐者的攻擊媒介，特別是當(dāng)手機(jī)中整合了支付功能時(shí)。

　　Schneider表示：“我相信，在未來幾年，智能手機(jī)將會(huì)逐漸成為犯罪分子的主要攻擊平臺(tái)。隨著這些智能手機(jī)越來越深入人們的生活(智能手機(jī)銀行、電子錢包)，它們將會(huì)成為最吸引犯罪分子的有價(jià)值的設(shè)備。”