(星島日報報道)愈來愈多港人愛以手機支付程式購物,中文大學工程學院最新研究發現流動支付系統的保安漏洞,兩款較常見手機支付方式,包括支付寶的二維碼(QR Code)、專屬Samsung Pay磁條讀卡器驗證(MST),不法分子可在用戶支付的短時間內,透過惡意程式竊取支付代碼(token),取得用戶的交易權,在用戶不知情下盜走款項。

  中大工程學院公布研究結果顯示,以現時普及度最高的QR Code為例,若用戶手機曾下載過來歷不明的程式、改機或破解過手機版本,當用戶在餐廳、超市等地方交易時,不法分子循預先安裝的黑客程式,利用干擾器令QR code失靈,然後控制手機鏡頭竊取掃描器玻璃面上的QR倒影,偷龍轉鳳將本應找數款項,匯入自己帳戶或作其他交易使用,過程只需一分鐘。由於用戶無法查證第一次交易失敗,故第二次支付才是商店款項,用戶因而蒙受損失。

  至於專屬Samsung Pay的MST支付方式,服務聲稱交易時,要將手機移至收銀機附近七點五厘米進行身分確認,惟研究團隊多番測試後,發現實際接收範圍可逾兩米,容易讓不法分子在用戶附近截取款項。團隊曾用隱藏天線在收銀處兩米範圍內,成功截斷手機支付和收銀系統的連接,並短時間內取得用戶手機的支付代碼。

  中大信息工程學系教授張克環表示,QR code、MST及聲波轉化皆屬單向式溝通,交易失敗時無法收回或取消過程中產生的支付令牌(payment code);至於其他在香港常用支付模式--近場通訊(NFC),如八達通、apple pay等,支付方式則採用雙向式的溝通方式,用戶能夠得知交易有誤和交易錯誤的情況,商戶收銀機亦可通知用戶有關情況,故暫時沒有看到任何危險。

  張克環表示,研究結果已去信有關公司,支付寶稱已堵塞掃描QR code的漏洞,限制交易QR code的用途,而Samsung回應稱確實有交易漏洞,會改善相關問題。張克環建議,商戶可在收銀系統加裝指定商戶QR code,用戶每次支付交易均加上獨特的認證ID,加強交易權限存取,以確保交易只為該用戶使用,避免他人盜取。

  對於流動支付系統被揭有保安漏洞,金管局發言人表示,該局已要求銀行在推出非接觸式流動支付服務前,須確保有關服務的安全,並知悉相關服務供應商有作出評估及採取相應措施,金管局會繼續密切留意這方面的發展,如有需要會作出適當跟進。發言人又提醒公眾小心保管他們的手機,做好適當的保安和防禦,以免承受手機被入侵的各類風險。三星發言人昨回覆傳媒查詢時則表示正了解事件,強調Samsung Pay經過嚴格測試,確保防線設置高度安全,相信成功竊取支付代碼的可能性極低。