驚！Android NFC 八達通卡程式能順利讀取餘額，那其他資料安全嗎？（更新：官方回應）

自 Samsung Nexus S 加入 NFC 技術後，愈來愈多廠商準備跟隨，並期望利用此技術分享音樂，並進一步提供電子錢包功能以便消費。當我們一直在期待 NFC 快點推出，為我們帶來方便的時候，我們可有想到 NFC 也可能帶來的個人隱私問題嗎？

Android Market 日前出現一個名為 "八達通卡閱讀器" 的程式，配合具備 NFC 功能的手機，便可以讀取香港八達通卡（等同於台灣的悠遊卡）內的餘額資料。我們找來一台 Nexus S 測試後，證實這個程式不是開玩笑的。程式由「曙光工作室」（前身為「勁秋論壇」）網主之一 studenttwok（電腦系學生）業餘製作*，軟體介紹中表示這是一個非官方的只讀、不寫程式，僅能夠讀取卡內沒有加密的餘額資料。至於我們日常在港鐵站內使用餘額查詢機觀察到的最近十次交易記錄的資料，由於屬於加密範圍，該程式無法閱讀。

此程式由於採用 NFC 技術，所以僅能夠讀取新版本的八達通卡；採用 Sony 13.56MHz FeliCa RFID 晶片的舊版八達通卡（卡號沒有括號數字）則無法讀取。我們進一步以台灣的悠遊卡及英國的 Oyster Card 進行測試，但程式沒有回應，看來開發者的確對八達通卡的數據進行了一些解讀。

雖然此程式暫時看來沒有任何安全疑慮，但卡內是否會有其他資料（特別是個人八達通卡），若被有心人解密，會否出現個人資料外洩呢？實在令人擔憂。我們曾經聯絡八達通公司，查詢八達通內是否有其他未加密資料及個人資料，但由於查詢的程序繁複，暫時未有回應。

*感謝讀者 Anthony 提供資料。


更新：八達通卡有限公司就此事件作出以下的回應：

「本公司在進行每日市場資訊監察時，發現一個可從 Google 的 Android 平台下載的智能手機應用程式，聲稱可用以查閱八達通的餘額。此應用程式未經八達通卡有限公司授權認可。我們正就此事進行調查，並會在必要時採取適當行動。

我們不會對未經授權的應用程式作出評論。然而，我們重申八達通的電子付費系統及相關技術乃由八達通卡有限公司獨家研發並屬於本公司專有的知識產權，不容侵犯。除方便客戶查閱的卡上餘額之外，所有其他資料均經過加密及處理，並透過全面而嚴密的保安及監控系統，為八達通客戶及商戶提供周全的保障。


我們建議客戶只應透過八達通認可的讀寫器或方法查閱八達通餘額。此外，我們慎重提醒客戶，若因使用未經授權的應用程式而導致任何後果，其責任概與八達通卡有限公司無關。」