研究揭手機支付系統現保安漏洞 金管局：銀行推出前須確保安全

中大研究發現三款較常見手機支付方式，包括近場通訊（NFC）、二維碼（QR Code）、磁條讀卡器驗證（MST），不法分子可在用戶支付短時間內，透過惡意裝置竊取支付令牌（payment code），將之用於另一項交易，用戶無法收到交易失敗的信號，不知不覺蒙受損失。研究發現支付寶及Samsung Pay均存有保安漏洞，用戶在不知不覺情況下被交易招致損失。金融管理局就有流動支付系統揭有保安漏洞容易被盜款，強調要求銀行在推出非接觸式流動支付服務前，須確保有關服務的安全。 金管局指，有向儲值支付工具持牌人發出的監管指引要求持牌人實施周全的支付保安措施，以及有穩健的管理框架監察和評估支付保安風險。當局知悉相關服務供應商有作出評估及採取相應措施，會繼續密切留意這方面的發展，如有需要會作出適當跟進。 金管局再次提醒，公眾小心保管他們的手機，做好適當的保安和防禦，以免承受手機被入侵的各類風險。 香港資訊科技商會榮譽會長方保僑認為，有關研究有助提醒用戶注意可能涉及的保安問題，但實際運作上未必可行。他以Samsung Pay為例，有關的MST功能模擬信用卡磁帶「碌卡」時的磁場訊號，研究指接收範圍可達兩米，但並無這種讀卡器。另外，每次交易傳送的驗證碼，只可用一次，因此偷取驗證碼並不可行。 他又指出，部份銀行在每次交易後，會向用戶發出推送訊息，如果有不法份子偷用，用戶將收到通知，知悉有問題交易。