中大揭手机支付漏洞 支付宝Samsung Pay易被盗款

2017-09-28 19:25

不少港人爱以手机「埋单」,但原来暗藏保安漏洞,随时「俾钱」变「送钱俾贼仔」。有研究发现三款较常见手机支付方式,包括近场通讯(NFC)、二维码(QR Code)、磁条读卡器验证(MST),不法分子可在用户支付短时间内,透过恶意装置窃取支付令牌(payment code),将之用于另一项交易,用户无法收到交易失败的信号,不知不觉蒙受损失。研究发现支付宝及Samsung Pay均存有保安漏洞,用户在不知不觉情况下被交易招致损失。 专属Samsung Pay的MST支付方式,服务声称交易时,要将手机移至收银机附近七点五厘米进行身分确认,惟团队多番测试后,发现实际接收范围可远两米,容易让不法分子在用户附近截取款项。 中大工程学院公布研究结果显示,以现时普及度最高的QR Code为例,不法分子会混入超市付款用户的队伍中,利用信息干扰器,令用户连接不到原来系统,就趁此时间,不法分子可伺机发动攻击,偷龙转凤将本应找数款项,汇入自己帐户,时间只需一分钟。由于用户第一次交易失败,故第二次才是支付超市款项,用户因而蒙受损失。上述问题团队已向流动支付系统公司反映,该公司亦已修复漏洞。 中大信息工程学系教授张克环表示,手机用户时刻警觉,避免下载来历不明的手机程式,不要改机和破解手机版本,减少被攻击的风险,因为恶意程式可以在QR Code显示在屏幕期间,开启用户手机前置相机,拍摄扫瞄器上的QR Code的倒影,传送给不法分子。 不过,香港资讯科技商会荣誉会长方保侨认为,有关研究有助提醒用户注意可能涉及的保安问题,但实际运作上未必可行。他以Samsung Pay为例,有关的MST功能模拟信用卡磁带「碌卡」时的磁场讯号,研究指接收范围可达两米,但并无这种读卡器。另外,每次交易传送的验证码,只可用一次,因此偷取验证码并不可行。 他又指出,部份银行在每次交易后,会向用户发出推送讯息,如果有不法份子偷用,用户将收到通知,知悉有问题交易。 建立时间 13:21 更新时间 19:25

關鍵字

最新回应

關鍵字

相關新聞

You are currently at: std.stheadline.com
Skip This Ads
close ad
close ad