流動支付存漏洞 Samsung Pay、支付寶用家或「被交易」

社會

發布時間: 2017/09/28 13:58

最後更新: 2017/10/26 13:32

分享:

分享:

(經濟日報記者攝)

近年無現金支付漸見普及,惟研究發現Samsung Pay、支付寶均存有保安漏洞,用家或在不為意的情況下「被交易」。

在支付過程中,最廣泛應用的支付代碼為二維碼(QR Code)、磁條讀卡器驗證(MST)、聲波轉化,以及八達通亦有使用的NFC(近場通訊)。

中大信息工程學系張克環指出,QR code、MST及聲波轉化皆屬單向式溝通,一旦交易失敗,商戶無法通知買家,但過程中產生的支付代碼無法收回或取消而成漏洞,令不法分子有機可乘。

以QR Code 為例,用戶須向商戶展示其QR code,並讓對方「嘟」來完成交易。研究團隊發現,黑客可利用惡意程式,入侵手機前置鏡頭,拍攝收銀機屏幕反射出來用戶手機上的QR Code,再立即用之進行交易,令用戶帳戶不知不覺「被交易」。現時支付寶亦是利用QR code進行支付。

至於專屬Samsung Pay的MST,服務聲稱交易時,手機須移至收銀機色附近7.5厘米進行身分確認,惟團隊多番測試,發現實際接收範圍可遠至2至4米。

張克環表示,已就研究結果,告知相關服務商,其中支付寶已修正有關服務。他建議,用家勿下載來歷不明的程式、破解或越獄(jail break)手機。他指出,本港常用的NFC相對安全,故沒有進行測試。