中大研究發現 生產商:已堵漏洞 手機支付存被盜風險 兩常用方式憂中招

【星島日報報道】愈來愈多港人愛以手機支付程式購物,中文大學工程學院最新研究發現流動支付系統的保安漏洞,兩款較常見手機支付方式,包括支付寶的二維碼(QR Code)、專屬Samsung Pay磁條讀卡器驗證(MST),不法分子可在用戶支付的短時間內,透過惡意程式竊取支付代碼(token),取得用戶的交易權,在用戶不知情下盜走款項。 中大工程學院公布研究結果顯示,以現時普及度最高的QR Code為例,若用戶手機曾下載過來歷不明的程式、改機或破解過手機版本,當用戶在餐廳、超市等地方交易時,不法分子循預先安裝的黑客程式,利用干擾器令QR code失靈,然後控制手機鏡頭竊取掃描器玻璃面上的QR倒影,偷龍轉鳳將本應找數款項,匯入自己帳戶或作其他交易使用,過程只需一分鐘。由於用戶無法查證第一次交易失敗,故第二次支付才是商店款項,用戶因而蒙受損失。 黑客利用干擾器令QR code失靈 至於專屬Samsung Pay的MST支付方式,服務聲稱交易時,要將手機移至收銀機附近七點五厘米進行身分確認,惟研究團隊多番測試後,發現實際接收範圍可逾兩米,容易讓不法分子在用戶附近截取款項。團隊曾用隱藏天 在收銀處兩米範圍內,成功截斷手機支付和收銀系統的連接,並短時間內取得用戶手機的支付代碼。 Samsung Pay接收範圍可逾兩米 中大信息工程學系教授張克環表示,QR code、MST及聲波轉化皆屬單向式溝通,交易失敗時無法收回或取消過程中產生的支付令牌(payment code);至於其他在香港常用支付模式--近場通訊(NFC),如八達通、apple pay等,支付方式則採用雙向式的溝通方式,用戶能夠得知交易有誤和交易錯誤的情況,商戶收銀機亦可通知用戶有關情況,故暫時沒有看到任何危險。 支付寶已改善 限制交易用途 張克環表示,研究結果已去信有關公司,支付寶稱已堵塞掃描QR code的漏洞,限制交易QR code的用途,而Samsung回應稱確實有交易漏洞,會改善相關問題。張克環建議,商戶可在收銀系統加裝指定商戶QR code,用戶每次支付交易均加上獨特的認證ID,加強交易權限存取,以確保交易只為該用戶使用,避免他人盜取。 三星:相信成功竊取機會低 對於流動支付系統被揭有保安漏洞,金管局發言人表示,該局已要求銀行在推出非接觸式流動支付服務前,須確保有關服務的安全,並知悉相關服務供應商有作出評估及採取相應措施,金管局會繼續密切留意這方面的發展,如有需要會作出適當跟進。發言人又提醒公眾小心保管他們的手機,做好適當的保安和防禦,以免承受手機被入侵的各類風險。三星發言人昨回覆傳媒查詢時則表示正了解事件,強調Samsung Pay經過嚴格測試,確保防 設置高度安全,相信成功竊取支付代碼的可能性極低。 黑客盜取用戶支付代碼過程 Samsung Pay 用戶在收銀處以手機支付貨品 黑客埋伏商店收銀機的兩米範圍內 黑客用隱藏天 並以購物袋掩飾進行干擾 當偵查到付款情況,黑客會截斷手機支付和收銀系統的連接 用戶第一次可能「嘟唔到」,收銀員會叫他再嘗試一次,雙方並未察覺有異樣 期間黑客只需一分鐘,覆寫並取得用戶支付代碼(token) 用戶再嘗試交易時會使用另一個支付代碼 黑客取得用戶支付代碼去購買其他產品 QR code 用戶手機可能曾下載來歷不明程式、改機或破解手機版本,並已植入黑客程式 用戶以手機支付貨品 (如以手機掃描商店顯示的二維碼QR code) 黑客偵測到交易活動,會干擾交易令QR code失靈 黑客控制手機鏡頭竊取掃描器玻璃面上的QR code倒影 偷龍轉鳳將找數商店款項匯入自己帳戶 用戶無法查證實際完成交易宗數,不知不覺支付兩筆款項 要聞