原文链接:http://www.freebuf.com/articles/terminal/150644.html
能从银行卡中读出身份证号你信吗?
提到敏感信息大家首先会想到身份证号,如果身份证号泄露会发生哪些危害呢,违法分子用来办信用卡、挂失你的银行卡、中介骗婚、使用你的信息进行违法犯罪等等,这其中的危害真是让人防不胜防,今天和大家一起来完成从带芯片的银行卡中读取身份证号。
银行卡背景国家从安全角度,磁条卡已陆续退出历史舞台,目前频发的克隆卡、被盗刷,都是发生在磁条卡上,因为磁条卡只有三个磁道来存储信息,而使用的借记卡一般只需要得到二磁道数据就能完成银行卡的克隆,而二磁道数据可以通过几十元的刷卡器轻松获得。 然而换成带芯片的银行卡就安全太多了,发卡行证书、IC卡公证书、认证中心证书这些是保证银行卡脱机交易的公私钥。而联机交易更加的安全,需要银联后台对每张卡中各域数据进行严格的核对。 虽然IC卡带有上述安全特性,但是还是存在着获取敏感信息的风险。根据中国金融集成电路IC卡规范的交易流程别有用心的人可以使用POS对IC卡进行应用选择、应用初始化、读取应用数据步骤获得交互数据,而此步得到的TLV格式应用数据中就可能包含持卡人的身份证号。下面是具体步骤。
准备工作
准备工作一台安卓手机、一个POS、一张IC银行卡
在实验中我所要完成的工作:1. 手机端:使用蓝牙芯片厂商提供的SDK,开发安卓版APP“蓝牙MPOS”,MPOS与APP“蓝牙MPOS”用蓝牙进行数据交互; 2. POS端:编写MPOS单片机里程序,完成对IC卡数据交换,获取持卡人姓名、卡号、持卡人身份证号。 注:对技术上感兴趣可私下进行交流
操作展示
搜索到MPOS“LaoTie666”的蓝牙
配对完成后在收集端执行“持卡人个人信息”按钮
插入银行卡
MPOS端再与IC交互后得到TLV格式数据后,找到敏感信息上传给手机端
手机端APP解析POS发来的姓名、卡号、身份数据
显示获取到姓名、卡号、身份证号。
总结从上述实验看来,借记卡在不需要联网的情况下,一个手机、一个读卡器,就可以读出来姓名、证件号和卡号。但大家不用太担心,因为姓名和身份证号并不是卡中必备的数据,也就是说不是所有的卡都能读出持卡人姓名和身份证号。当然即使能读出来的卡也不是任何人都可以操作,这需要有相关的中国金融集成电路IC卡规范方面的知识和实际操作的能力,其实最好还是建议银行强制的把卡内的身份证号存储加密或删掉。 以上是银行卡的接触式方式与POS通讯,也可通过银行卡的非接方式与POS通讯,原理相同。
|