手機支付寶藏保安漏洞
流動支付方式近年愈趨流行,但部分支付方式暗藏保安漏洞。香港中文大學工程學院研究團隊發現,內地支付寶流行常用的二維碼掃描(QR code)、三星的磁條讀卡器驗證(MST)和聲波轉化均出現潛在交易漏洞;例如支付寶用戶的QR code容易被不法分子盜取,從而取得交易授權;而不法分子亦可於MST交易的兩至三米範圍內,盜取交易身份認證權限。研究團隊指有關的未經授權交易或令消費者招致難以估量的金錢損失。
中大信息工程學系助理教授張克環過去兩年與其研究團隊研究各種流動支付系統的保安程度,其中內地盛行的支付寶所用的QR code交易方面,團隊發現有不法分子會利用電腦和電波干擾器偷取用戶在交易時的支付權限(Token)。
控制手機鏡頭竊付款QR code
張指有不法分子利用電腦病毒入侵用戶手機,控制手機鏡頭並竊取其付款用的QR code,再經網絡傳到不法分子的電腦上使用,取而代之成為交易權限者。他表示,由於QR code屬於單向式溝通的付款方式,不法分子利用干擾器令QR code於交易時失靈,用戶即無法得悉其支付交易的結果是否失敗,亦不能自行取消。除此之外,不法之徒亦會入侵用戶手機,並發出「更新」QR code的指示,不管是否接受更新,其QR code均會被盜取,並換上由病毒所製的無效QR code。
另一種交易方式三星的「Samsung Pay」,是採用MST系統,用戶在進行交易時,需要將手機移到商戶收銀機附近七點五厘米內進行身份確認。不過,團隊測試發現,該身份確認實際接收範圍可遠至兩米至三米距離;如不法分子混入超市付款者的隊伍中,即可伺機竊取並盜用支付權限。張克環表示,已經向支付寶和三星報告有關的保安漏洞問題,對方承諾會跟進問題。
港多採NFC雙向支付 暫無風險
此外,國內常用的自動售賣機聲波支付同樣出現相同漏洞,當手機用戶端發出聲波,將支付權限的代碼(Token)傳送給自動售賣機的過程中,聲波同樣易被盜取,令用戶招致損失。
至於香港常用的近場通訊(NFC)支付方式,張克環表示,NFC是採用雙向式的溝通付款方式,用戶能夠知道交易出現錯誤,商戶收銀機亦可通知用戶有關的情況,暫時沒看到有任何保安風險。
對於如何解決有關保安漏洞,張克環表示,商戶可在收銀系統加裝指定商戶QR code,配上認證ID,以確保交易只能在該用戶使用,避免被盜取,建議所有手機用戶避免胡亂安裝手機應用程式,特別是免費程式,更不要相信不明來歷的電話和訊息。