提到敏感信息大家首先会想到身份证号，如果身份证号泄露会发生哪些危害呢，违法分子用来办信用卡、挂失你的银行卡、中介骗婚、使用你的信息进行违法犯罪等等，这其中的危害真是让人防不胜防，今天和大家一起来完成从带芯片的银行卡中读取身份证号。

银行卡背景

国家从安全角度，磁条卡已陆续退出历史舞台，目前频发的克隆卡、被盗刷，都是发生在磁条卡上，因为磁条卡只有三个磁道来存储信息，而使用的借记卡一般只需要得到二磁道数据就能完成银行卡的克隆，而二磁道数据可以通过几十元的刷卡器轻松获得。

然而换成带芯片的银行卡就安全太多了，发卡行证书、IC卡公证书、认证中心证书这些是保证银行卡脱机交易的公私钥。而联机交易更加的安全，需要银联后台对每张卡中各域数据进行严格的核对。

虽然IC卡带有上述安全特性，但是还是存在着获取敏感信息的风险。根据中国金融集成电路IC卡规范的交易流程别有用心的人可以使用POS对IC卡进行应用选择、应用初始化、读取应用数据步骤获得交互数据，而此步得到的TLV格式应用数据中就可能包含持卡人的身份证号。下面是具体步骤。

准备工作

准备工作一台安卓手机、一个POS、一张IC银行卡

在实验中我所要完成的工作：

1. 手机端：使用蓝牙芯片厂商提供的SDK，开发安卓版APP“蓝牙MPOS”，MPOS与APP“蓝牙MPOS”用蓝牙进行数据交互；

2. POS端：编写MPOS单片机里程序，完成对IC卡数据交换，获取持卡人姓名、卡号、持卡人身份证号。

注：对技术上感兴趣可私下进行交流

操作展示

搜索到MPOS“LaoTie666”的蓝牙

配对完成后在收集端执行“持卡人个人信息”按钮

插入银行卡

MPOS端再与IC交互后得到TLV格式数据后，找到敏感信息上传给手机端

手机端APP解析POS发来的姓名、卡号、身份数据

显示获取到姓名、卡号、身份证号。

总结

从上述实验看来，借记卡在不需要联网的情况下，一个手机、一个读卡器，就可以读出来姓名、证件号和卡号。但大家不用太担心，因为姓名和身份证号并不是卡中必备的数据，也就是说不是所有的卡都能读出持卡人姓名和身份证号。当然即使能读出来的卡也不是任何人都可以操作，这需要有相关的中国金融集成电路IC卡规范方面的知识和实际操作的能力，其实最好还是建议银行强制的把卡内的身份证号存储加密或删掉。

以上是银行卡的接触式方式与POS通讯，也可通过银行卡的非接方式与POS通讯，原理相同。

*本文作者：mulangaofeng，转载请注明来自FreeBuf.COM