据加密货币硬件钱包 OneKey 发布的消息,前段时间 OneKey 安全实验室的研究人员发现支付宝部分 NFC 碰一碰支付存在安全隐患,其风险是碰一碰设备的硬件芯片问题。
这段时间支付宝正在全国各大城市密集推广碰一碰支付,碰一碰支付主要通过 NFC 标签生成动态支付链接,使用具有 NFC 功能的智能手机贴靠时可以识别标签并通过支付宝打开。
OneKey 发现的问题是支付宝碰一碰设备使用的恩智浦 NXP NTAG215 芯片未开启 OTP 一次性写入和加密功能,这有可能被恶意利用并对芯片内容进行篡改和伪造。
如果成功发起攻击,攻击者可以通过替换芯片内容将标签导向钓鱼地址,用户支付的款项也会被攻击者获得而不是被商家获得,容易造成争议和财产损失。
在 OneKey 向支付宝通报后,支付宝已经在 2024 年 12 月出货的新设备中修复该漏洞并增加必要的安全保护机制,但由于老设备无法通过 OTA 在线更新,因此用户若通过这些设备支付仍然面临安全风险。
从目前描述来看支付宝碰一碰的这类缺陷危害程度可能比较低,因为攻击者需要物理接触设备才能替换标签,而替换标签后只要有一笔款项没有被商家收到,就可以发现设备存在问题进而被停用。
这种替换标签的攻击方式有些类似偷偷将商家支付宝二维码撕掉贴上自己的二维码,只要商家没有听到收款播报其实就能发现问题,因此总体来说风险应该还是非常小的。
最后 OneKey 也提醒使用碰一碰支付的商家,如果使用的是较老的 NFC 支付设备,则应该与支付宝官方核实安全性关注硬件设备的安全升级信息,及时更换至新设备。
