流動支付系統愈趨普及,不少市民利用手機付款消費。不過中文大學的一項最新研究發現,利用二維碼(QR Code)掃描、磁條讀卡器驗證、聲波轉化付款的系統均存在保安漏洞,不法分子可盜取用家資料或金錢,涉及支付寶、Samsung Pay等,至於Apple Pay、Android Pay使用的近場通訊(NFC)技術,暫未發現保安漏洞。領導該研究的學者呼籲市民要時刻警覺,避免下載來歷不明的手機應用程式。
本報港聞部報道
Samsung發言人回應稱,支付系統Samsung Pay經過嚴格的測試,關注到最近相關的報道,正了解事件,但相信成功竊取支付代碼的可能性極低。支付寶發言人表示,中大研究所提到的用戶付款過程中產生的支付令牌(TOKEN)屬一次性的,並在極短時間內失效,而研究所指出的安全「漏洞」,需要用戶設備中首先被安裝一個惡意應用程式,而且其攻擊環境和條件要求都極高,在實際生活中幾乎不具有可行性。
單向式溝通 交易失敗無法通知
在流動支付過程中,作為身份驗證的支付令牌,是手機用戶端與商戶收銀機溝通的核心,而現時最為業界廣泛使用的四種支付令牌傳輸渠道,分別為近場通訊(Near-field Communication,NFC)、二維碼(Quick Response Code,QR Code)掃描、磁條讀卡器驗證(Magnetic Secure Transmission,MST),以及聲波轉化。
研究由中大信息工程學系教授張克環領導的系統保安研究實驗室進行,張克環表示,除了NFC之外,其他三項皆屬單向式溝通,換言之一旦交易失敗,商戶收銀機無法通知手機用戶端,而已經產生的支付令牌亦無法被收回或取消,讓不法分子有機可乘。
支付寶的用戶比較常以QR Code掃描方式付款。張克環說,在研究支付寶的QR Code系統時,發現不法分子可以透過惡意程式控制手機前置鏡頭,當用戶以QR Code付款時,程式會拍下反射在掃瞄器玻璃上的倒影並盜取,又或者把部分圖像刪走,當商戶接收不到令交易無法進行,不法分子就用完整QR Code的原本價值買其他東西。
混入付款者隊伍 竊支付令牌
至於專屬於Samsung Pay的MST,張克環表示,Samsung稱讀卡器可認證的距離是7.5厘米,但研究團隊多番測試後發現,實際接收範圍可遠至兩米,如果有不法之徒混入超市付款者的隊伍中,即有機會發起攻擊,竊取並盜用支付令牌。聲波支付通常見於內地的自動售賣機,當手機用戶端發出聲波,將支付令牌傳送給自動售賣機的過程中,聲波同樣易於被盜取,令用戶招致損失。
張克環建議商戶使用流動支付系統時,一定要採用多重認證,同時呼籲市民不要破解手機或者下載可疑的程式。他又說:「不光是金錢的問題,其實有時候也會涉及到私隱,譬如說電子支付,事實上後台服務器,會擁有你所有的消費紀錄,每一筆消費紀錄,知道你的喜好,知道你的消費習慣。」 |
搜尋新聞
