支付宝反驳QR码风险 「实际生活几乎不可行」

中大信息工程学院就流动支付系统保安提出问题，指出内地支付宝常用的QR Code，有机会被不法之徒盗取身份认证的支付令牌（Payment Token），令用家蒙受金钱损失。支付宝作出声明，回应指研究中的「漏洞」，是用户安装恶意应用程式后才会发生，而且其攻击环境和条件要求都极高，在实际生活中几乎不具有可行性。 领导研究团队的中大信息工程学系教授张克环指，QR Code（二维码）属单向式沟通的付款方式，一旦交易失败，商户收银机无法通知手机用户，已产生的支付令牌亦无法收回，让不法份子有机可乘。 支付宝母企蚂蚁金服表示，研究报告中提到的用户付款过程中产生的支付令牌是一次性的，并在极短时间内失效，而且所指的「漏洞」，是要先在用户手机装上「恶意应用程式」。蚂蚁金服表示，支付宝有一整套的智能实时系统（CTU）来保障用户的账户安全，每天上亿笔交易实时扫描进行风险检测，强调支付宝的交易资损率不到百万分之一，远低于国际领先支付机构千分之二的风险水平。 相关新闻： ●中大揭手机支付漏洞 支付宝Samsung Pay易被盗款