2017年9月28日 星期四

中大揭手機畀錢藏被盜漏洞 支付寶三星中招

on.cc東網專訊

流動支付方式近年愈趨流行,但部分支付方式暗藏保安漏洞。中文大學工程學院研究發現內地流行常用的二維碼掃描(QR code)、磁條讀卡器驗證和聲波轉化都出現交易上的問題,容易被不法分子盜取交易授權,從而招致損失。

中大信息工程學系張克環教授於過去兩年就各種流動支付系統作研究,其中內地流行的QR code交易方面,發現有不法分子會利用電腦和電波干擾器偷取用戶在交易時的支付權限(Token)。

張指,QR code屬於單向式溝通的付款方式,當用戶交易時,無法得悉其支付交易是否失敗的結果,其實只是不法分子利用干擾器令QR code失靈和控制手機鏡頭竊取其QR code,取而代之成為交易權限者。張又指,支付寶正是利用此方法作交易,並已經通知其問題,以作出修復。

另外一種交易方式為三星流動支付系統的磁條讀卡器,用戶在進行交易時,需要將手機移到商戶收銀機附近7.5厘米內進行身份確認。然而,經過團隊多番測試,發現實際接收範圍可遠至2米,甚至4米距離。如不法分子混入超市付款者的隊伍中,即可伺機發起攻擊,竊取並盜用支付權限。張表示,就此已知會三星,對方已得悉有關問題。

國內常用的自動售賣機聲波支付也具有相同漏洞,當手機用戶端發出聲波,將支付權限的代碼(Token)傳送給自動售賣機過程中,聲波同樣易於被盜取,令用戶招致損失。

至於香港常用的近場通訊(NFC)支付方式則是採用雙向式的溝通方式,用戶能夠知道交易有誤時的情況,能夠得知交易錯誤,商戶收銀機亦可通知用戶有關情況,故暫時沒有看到任何危險。

對於如何解決有關保安漏洞,張克環表示,商戶可在收銀系統加裝指定商戶QR code,加上認證ID,以確保交易只能在該用戶使用,避免被人盜取使用。他建議所有手機用戶,避免胡亂安裝應用程式,特別是免費程式,及不要相信不明來歷的電話和訊息。

沒有留言: