终端还是应用漏洞？SpotMe让安卓NFC手机用上Apple Pay

　　近日，据国外媒体报道，在美国地区安卓手机用户可以用他们的NFC手机去花费那些拥有iPhone 6 的朋友Apple Pay里的钱。

　　当然这需要用到一款名叫Spot.me的APP，过程非常简单。安装了这款应用程序的安卓用户只需打开APP，通过手机的NFC功能，iPhone 6用户就能像在POS机上使用Apple Pay消费一样，轻松通过指纹验证后，两台手机只需背对背轻轻接触一下就能完成这项模拟的“付款”。最关键的地方就是，安卓设备会在接触后获得Apple Pay的一次性Token，当然这只是一个Visa信用卡信息的替代品，通过这样一个Token安卓手机便可以在其它支持的终端上像Apple Pay一样完成之前的支付。

　　据移动支付网了解，尽管一个Token只能用于一次支付，但是只要在发卡行的限定期限内，你可以选择任何时间来使用它。同时，这款APP还支持谷歌钱包的类似个人付款。

　　那么问题来了，这样一个应用程序在设想良性使用的情况下，用于朋友之间的付款还钱非常方便，但是它也可能产生移动支付的“中间人攻击”。

　　比如当你在一些小的市场买东西，需要用你的移动设备完成NFC支付的时候，你根本无法辨别哪些是合法的终端设备以及应用程序，你的Token就有可能在这些时候被泄露和利用。

　　对于消费者来说，这是一个漏洞。而主要原因可能是因为在美国以及加拿大地区的终端设备的遗留问题，也就是说Visa的APP 在这些终端设备上进行支付交易的时候没有包含“终端随机数”这个重要因子，碰碰米总经理赵煜向移动支付网这样解释。

　　目前关于漏洞的修复问题，发卡行、终端提供商以及移动设备方面各持推诿，而漏洞的关键Visa方面却没有发表任何评论。

　　Via：nfcworld

　　推荐微信公众号，NFC日报：nfcdaily 移动支付网：mpaypass