研究揭手机支付系统现保安漏洞 金管局：银行推出前须确保安全

中大研究发现三款较常见手机支付方式，包括近场通讯（NFC）、二维码（QR Code）、磁条读卡器验证（MST），不法分子可在用户支付短时间内，透过恶意装置窃取支付令牌（payment code），将之用于另一项交易，用户无法收到交易失败的信号，不知不觉蒙受损失。研究发现支付宝及Samsung Pay均存有保安漏洞，用户在不知不觉情况下被交易招致损失。金融管理局就有流动支付系统揭有保安漏洞容易被盗款，强调要求银行在推出非接触式流动支付服务前，须确保有关服务的安全。 金管局指，有向储值支付工具持牌人发出的监管指引要求持牌人实施周全的支付保安措施，以及有稳健的管理框架监察和评估支付保安风险。当局知悉相关服务供应商有作出评估及采取相应措施，会继续密切留意这方面的发展，如有需要会作出适当跟进。 金管局再次提醒，公众小心保管他们的手机，做好适当的保安和防御，以免承受手机被入侵的各类风险。 香港资讯科技商会荣誉会长方保侨认为，有关研究有助提醒用户注意可能涉及的保安问题，但实际运作上未必可行。他以Samsung Pay为例，有关的MST功能模拟信用卡磁带「碌卡」时的磁场讯号，研究指接收范围可达两米，但并无这种读卡器。另外，每次交易传送的验证码，只可用一次，因此偷取验证码并不可行。 他又指出，部份银行在每次交易后，会向用户发出推送讯息，如果有不法份子偷用，用户将收到通知，知悉有问题交易。