2025年 07月 25日
星期五
   | 气 温 : 26 度
搜寻新闻
繁体中文
即时新闻 视频新闻 要闻港闻 社 评国际两岸 财 经 娱 乐 体 育 马 经 副 刊 昔 日

电子支付存漏洞须警觉 私隐金钱恐被盗
发佈日期 : 2017-09-29

储值支付工具统计资料
张克环建议避免下载来歷不明手机应用程式。
支付宝会透过二维码扫描付款。
NFC支付系统,暂未发现存在保安漏洞。
储值支付工具统计资料
张克环建议避免下载来歷不明手机应用程式。

流动支付系统愈趋普及,不少市民利用手机付款消费。不过中文大学的一项最新研究发现,利用二维码(QR Code)扫描、磁条读卡器验证、声波转化付款的系统均存在保安漏洞,不法分子可盗取用家资料或金钱,涉及支付宝、Samsung Pay等,至于Apple Pay、Android Pay使用的近场通讯(NFC)技术,暂未发现保安漏洞。领导该研究的学者唿吁市民要时刻警觉,避免下载来歷不明的手机应用程式。


本报港闻部报道


Samsung发言人回应称,支付系统Samsung Pay经过严格的测试,关注到最近相关的报道,正了解事件,但相信成功窃取支付代码的可能性极低。支付宝发言人表示,中大研究所提到的用户付款过程中产生的支付令牌(TOKEN)属一次性的,并在极短时间内失效,而研究所指出的安全「漏洞」,需要用户设备中首先被安装一个恶意应用程式,而且其攻击环境和条件要求都极高,在实际生活中几乎不具有可行性。


单向式沟通 交易失败无法通知


在流动支付过程中,作为身份验证的支付令牌,是手机用户端与商户收银机沟通的核心,而现时最为业界广泛使用的四种支付令牌传输渠道,分别为近场通讯(Near-field Communication,NFC)、二维码(Quick Response Code,QR Code)扫描、磁条读卡器验证(Magnetic Secure Transmission,MST),以及声波转化。


研究由中大信息工程学系教授张克环领导的系统保安研究实验室进行,张克环表示,除了NFC之外,其他三项皆属单向式沟通,换言之一旦交易失败,商户收银机无法通知手机用户端,而已经产生的支付令牌亦无法被收回或取消,让不法分子有机可乘。


支付宝的用户比较常以QR Code扫描方式付款。张克环说,在研究支付宝的QR Code系统时,发现不法分子可以透过恶意程式控制手机前置镜头,当用户以QR Code付款时,程式会拍下反射在扫瞄器玻璃上的倒影并盗取,又或者把部分图像删走,当商户接收不到令交易无法进行,不法分子就用完整QR Code的原本价值买其他东西。


混入付款者队伍 窃支付令牌


至于专属于Samsung Pay的MST,张克环表示,Samsung称读卡器可认证的距离是7.5厘米,但研究团队多番测试后发现,实际接收范围可远至两米,如果有不法之徒混入超市付款者的队伍中,即有机会发起攻击,窃取并盗用支付令牌。声波支付通常见于内地的自动售卖机,当手机用户端发出声波,将支付令牌传送给自动售卖机的过程中,声波同样易于被盗取,令用户招致损失。


张克环建议商户使用流动支付系统时,一定要採用多重认证,同时唿吁市民不要破解手机或者下载可疑的程式。他又说:「不光是金钱的问题,其实有时候也会涉及到私隐,譬如说电子支付,事实上后台服务器,会拥有你所有的消费纪录,每一笔消费纪录,知道你的喜好,知道你的消费习惯。」

您可能有兴趣:

1
五月天从北京无名高地冷场 走至鸟巢之巅

2
32岁铁粉警员执勤受重创 五月天语音打气 阿信:希望你赶快好起来

3
父带亡儿照入场看骚掉下眼泪 阿信许诺天堂开唱 并肩坐云端

4
仔仔佻皮 替阿信装兔耳朵 言承旭目睹 默契支援

5
冠佑女儿「小玫瑰」登巨蛋压轴场 「花粉」应援物送达 感动又开心

6
蔡康永突袭提恋情 阿信语塞 话题急转弯 安歌献母亲最爱《爱情万岁》

7
五月天巨蛋今举行最终场  传F4惊喜合体 已低调綵排

8
阿信突开IG直播片刻 与场外粉丝「神同步」

9
退役棒球手周思齐孖阿信合唱

10
五月天母校结他社遭粉丝擅闯拍片 台湾师大附中 学生温柔劝退 阿信当年社办早已拆除

11
阿信漫画教材吸纳新生 怪兽结他技艺高争拜师

12
五月天阿信温柔一蹲 用额头贴手鼓励身障歌迷 传递音乐以外的力量

13
阿信是最会带动童心的一颗星星 小女孩举牌 长大要嫁「信哥哥」

14
五月天阿信拥抱女歌迷掀粉丝吃醋 社交网彻夜狂哄 演唱会后凌晨回应:空气拥抱 不是末日

15
「五月天」重返传奇地标 再登台北101 巨型海报登场 团猫「菜头粿」惊喜亮相


首页