中大研究稱兩款常用手機支付方法存風險
2017-09-29
AAA
中文大學工程學院最新研究發現流動支付系統的保安漏洞,包括支付寶的二維碼(QR Code)、專屬Samsung Pay磁條讀卡器驗證(MST),容易被不法分子透過惡意程式竊取支付代碼(token),在用戶不知情下盜走款項。
團隊指以QR Code來說,用戶手若曾下載過來歷不明的程式或改機,在使用QR Code付款時,前置鏡頭會啟用,有機會被偷拍反射在掃描器玻璃上的QR Code倒影,再經網絡傳送給不法分子,用於另一交易。過程只需一分鐘。
至於專屬Samsung Pay的MST支付方式,團隊多番測試後,發現實際接收範圍可逾兩米,容易讓不法分子在用戶附近截取款項。團隊曾用隱藏天線在收銀處兩米範圍內,成功截斷手機支付和收銀系統的連接,並短時間內取得用戶手機的支付代碼。
至於其他在香港常用支付模式--近場通訊(NFC),如八達通、apple pay等,支付方式則採用雙向式的溝通方式,用戶能夠得知交易情況,故暫時沒有看到任何危險。
三星回應指Samsung Pay經過嚴格測試,確保防線設置高度安全。支付寶香港就形容,研究所指的攻擊環境和條件要求極高,在實際生活中「幾乎不具有可行性」。金管局發言人指會繼續關注,呼籲市民使用時做好適當的保安和防禦。
