流动支付系统愈趋普及,不少市民利用手机付款消费。不过中文大学的一项最新研究发现,利用二维码(QR Code)扫描、磁条读卡器验证、声波转化付款的系统均存在保安漏洞,不法分子可盗取用家资料或金钱,涉及支付宝、Samsung Pay等,至于Apple Pay、Android Pay使用的近场通讯(NFC)技术,暂未发现保安漏洞。领导该研究的学者唿吁市民要时刻警觉,避免下载来歷不明的手机应用程式。
本报港闻部报道
Samsung发言人回应称,支付系统Samsung Pay经过严格的测试,关注到最近相关的报道,正了解事件,但相信成功窃取支付代码的可能性极低。支付宝发言人表示,中大研究所提到的用户付款过程中产生的支付令牌(TOKEN)属一次性的,并在极短时间内失效,而研究所指出的安全「漏洞」,需要用户设备中首先被安装一个恶意应用程式,而且其攻击环境和条件要求都极高,在实际生活中几乎不具有可行性。
单向式沟通 交易失败无法通知
在流动支付过程中,作为身份验证的支付令牌,是手机用户端与商户收银机沟通的核心,而现时最为业界广泛使用的四种支付令牌传输渠道,分别为近场通讯(Near-field Communication,NFC)、二维码(Quick Response Code,QR Code)扫描、磁条读卡器验证(Magnetic Secure Transmission,MST),以及声波转化。
研究由中大信息工程学系教授张克环领导的系统保安研究实验室进行,张克环表示,除了NFC之外,其他三项皆属单向式沟通,换言之一旦交易失败,商户收银机无法通知手机用户端,而已经产生的支付令牌亦无法被收回或取消,让不法分子有机可乘。
支付宝的用户比较常以QR Code扫描方式付款。张克环说,在研究支付宝的QR Code系统时,发现不法分子可以透过恶意程式控制手机前置镜头,当用户以QR Code付款时,程式会拍下反射在扫瞄器玻璃上的倒影并盗取,又或者把部分图像删走,当商户接收不到令交易无法进行,不法分子就用完整QR Code的原本价值买其他东西。
混入付款者队伍 窃支付令牌
至于专属于Samsung Pay的MST,张克环表示,Samsung称读卡器可认证的距离是7.5厘米,但研究团队多番测试后发现,实际接收范围可远至两米,如果有不法之徒混入超市付款者的队伍中,即有机会发起攻击,窃取并盗用支付令牌。声波支付通常见于内地的自动售卖机,当手机用户端发出声波,将支付令牌传送给自动售卖机的过程中,声波同样易于被盗取,令用户招致损失。
张克环建议商户使用流动支付系统时,一定要採用多重认证,同时唿吁市民不要破解手机或者下载可疑的程式。他又说:「不光是金钱的问题,其实有时候也会涉及到私隐,譬如说电子支付,事实上后台服务器,会拥有你所有的消费纪录,每一笔消费纪录,知道你的喜好,知道你的消费习惯。」 |
搜寻新闻
