中大揭手机支付漏洞 支付宝Samsung Pay易被盗款

不少港人爱以手机「埋单」，但原来暗藏保安漏洞，随时「俾钱」变「送钱俾贼仔」。有研究发现三款较常见手机支付方式，包括近场通讯（NFC）、二维码（QR Code）、磁条读卡器验证（MST），不法分子可在用户支付短时间内，透过恶意装置窃取支付令牌（payment code），将之用于另一项交易，用户无法收到交易失败的信号，不知不觉蒙受损失。研究发现支付宝及Samsung Pay均存有保安漏洞，用户在不知不觉情况下被交易招致损失。 专属Samsung Pay的MST支付方式，服务声称交易时，要将手机移至收银机附近七点五厘米进行身分确认，惟团队多番测试后，发现实际接收范围可远两米，容易让不法分子在用户附近截取款项。 中大工程学院公布研究结果显示，以现时普及度最高的QR Code为例，不法分子会混入超市付款用户的队伍中，利用信息干扰器，令用户连接不到原来系统，就趁此时间，不法分子可伺机发动攻击，偷龙转凤将本应找数款项，汇入自己帐户，时间只需一分钟。由于用户第一次交易失败，故第二次才是支付超市款项，用户因而蒙受损失。上述问题团队已向流动支付系统公司反映，该公司亦已修复漏洞。 中大信息工程学系教授张克环表示，手机用户时刻警觉，避免下载来历不明的手机程式，不要改机和破解手机版本，减少被攻击的风险，因为恶意程式可以在QR Code显示在屏幕期间，开启用户手机前置相机，拍摄扫瞄器上的QR Code的倒影，传送给不法分子。 不过，香港资讯科技商会荣誉会长方保侨认为，有关研究有助提醒用户注意可能涉及的保安问题，但实际运作上未必可行。他以Samsung Pay为例，有关的MST功能模拟信用卡磁带「碌卡」时的磁场讯号，研究指接收范围可达两米，但并无这种读卡器。另外，每次交易传送的验证码，只可用一次，因此偷取验证码并不可行。 他又指出，部份银行在每次交易后，会向用户发出推送讯息，如果有不法份子偷用，用户将收到通知，知悉有问题交易。 建立时间 13:21 更新时间 19:25