不少港人愛以手機「埋單」,但原來暗藏保安漏洞,隨時「俾錢」變「送錢俾賊仔」。有研究發現三款較常見手機支付方式,包括近場通訊(NFC)、二維碼(QR Code)、磁條讀卡器驗證(MST),不法分子可在用戶支付短時間內,透過惡意裝置竊取支付令牌(payment code),將之用於另一項交易,用戶無法收到交易失敗的信號,不知不覺蒙受損失。研究發現支付寶及Samsung Pay均存有保安漏洞,用戶在不知不覺情況下被交易招致損失。
專屬Samsung Pay的MST支付方式,服務聲稱交易時,要將手機移至收銀機附近七點五厘米進行身分確認,惟團隊多番測試後,發現實際接收範圍可遠兩米,容易讓不法分子在用戶附近截取款項。
中大工程學院公佈研究結果顯示,以現時普及度最高的QR Code為例,不法分子會混入超市付款用戶的隊伍中,利用信息干擾器,令用戶連接不到原來系統,就趁此時間,不法分子可伺機發動攻擊,偷龍轉鳳將本應找數款項,匯入自己帳戶,時間只需一分鐘。由於用戶第一次交易失敗,故第二次才是支付超市款項,用戶因而蒙受損失。上述問題團隊已向流動支付系統公司反映,該公司亦已修復漏洞。
中大信息工程學系教授張克環表示,手機用戶時刻警覺,避免下載來歷不明的手機程式,不要改機和破解手機版本,減少被攻擊的風險,因為惡意程式可以在QR Code顯示在屏幕期間,開啟用戶手機前置相機,拍攝掃瞄器上的QR Code的倒影,傳送給不法分子。
不過,香港資訊科技商會榮譽會長方保僑認為,有關研究有助提醒用戶注意可能涉及的保安問題,但實際運作上未必可行。他以Samsung Pay為例,有關的MST功能模擬信用卡磁帶「碌卡」時的磁場訊號,研究指接收範圍可達兩米,但並無這種讀卡器。另外,每次交易傳送的驗證碼,只可用一次,因此偷取驗證碼並不可行。
他又指出,部份銀行在每次交易後,會向用戶發出推送訊息,如果有不法份子偷用,用戶將收到通知,知悉有問題交易。
建立時間 13:21
更新時間 19:25
最新回應