中大揭手機支付漏洞 支付寶Samsung Pay易被盜款

不少港人愛以手機「埋單」，但原來暗藏保安漏洞，隨時「俾錢」變「送錢俾賊仔」。有研究發現三款較常見手機支付方式，包括近場通訊（NFC）、二維碼（QR Code）、磁條讀卡器驗證（MST），不法分子可在用戶支付短時間內，透過惡意裝置竊取支付令牌（payment code），將之用於另一項交易，用戶無法收到交易失敗的信號，不知不覺蒙受損失。研究發現支付寶及Samsung Pay均存有保安漏洞，用戶在不知不覺情況下被交易招致損失。 專屬Samsung Pay的MST支付方式，服務聲稱交易時，要將手機移至收銀機附近七點五厘米進行身分確認，惟團隊多番測試後，發現實際接收範圍可遠兩米，容易讓不法分子在用戶附近截取款項。 中大工程學院公佈研究結果顯示，以現時普及度最高的QR Code為例，不法分子會混入超市付款用戶的隊伍中，利用信息干擾器，令用戶連接不到原來系統，就趁此時間，不法分子可伺機發動攻擊，偷龍轉鳳將本應找數款項，匯入自己帳戶，時間只需一分鐘。由於用戶第一次交易失敗，故第二次才是支付超市款項，用戶因而蒙受損失。上述問題團隊已向流動支付系統公司反映，該公司亦已修復漏洞。 中大信息工程學系教授張克環表示，手機用戶時刻警覺，避免下載來歷不明的手機程式，不要改機和破解手機版本，減少被攻擊的風險，因為惡意程式可以在QR Code顯示在屏幕期間，開啟用戶手機前置相機，拍攝掃瞄器上的QR Code的倒影，傳送給不法分子。 不過，香港資訊科技商會榮譽會長方保僑認為，有關研究有助提醒用戶注意可能涉及的保安問題，但實際運作上未必可行。他以Samsung Pay為例，有關的MST功能模擬信用卡磁帶「碌卡」時的磁場訊號，研究指接收範圍可達兩米，但並無這種讀卡器。另外，每次交易傳送的驗證碼，只可用一次，因此偷取驗證碼並不可行。 他又指出，部份銀行在每次交易後，會向用戶發出推送訊息，如果有不法份子偷用，用戶將收到通知，知悉有問題交易。 建立時間 13:21 更新時間 19:25