张克环教授。
【今日时报网讯】记者万家成报道:近年不少港人爱以手机「埋单」,愈趋流行的流动支付方式,其实暗藏危机。香港中文大学信息工程学系昨日公布一项研究结果,发现当中保安漏洞,主要涉及支付宝等利用二维码(QRcode)付款的程式,以及三星专属的「SamsungPay」磁带读卡器验证(MST)功能等,不法分子可透过遥距方式入侵进行交易的手机,盗取用户交易资料,以进行未被授权的交易,由于相关流动支付方式均属单向沟通,用户随时不知不觉间蒙受损失。
用干扰器盗取支付权限代码
由中大信息工程学系张克环教授领导的系统保安研究实验室,2年来就各种流动支付系统的安全及防护作研究及分析,率先发现重大保安漏洞,相信有不法分子会利用干扰器,偷取用户在交易时的支付权限代码(Token);有关研究成果已于上月在加拿大温哥华举行的国际顶级网络安全学术会议发表,研究团队并将保安漏洞通知支付宝及三星,支付宝已停用「付款QRCode线上转帐功能」,仅保留QRCode的离线支付功能,三星则回覆称已知悉漏洞。
款项被转移用户亦不察觉
张克环教授昨于发布会上指出,QRcode属于单向式沟通的付款方式,当用户交易时,无法得悉其支付交易是否失败的结果,其实是不法分子利用干扰器令QRcode失灵,或透过恶意程式感染并控制手机,窃取其QRcode,取而代之成为交易权限者,把款项用于另一项交易;至于另一种同属单向式沟通的「Sam-sungPay」磁带读卡器,当用户进行交易时,需要将手机移到商户收银机附近7.5厘米内进行身份确认,惟经过多番测试,发现实际接收範围可远至2米、甚至4米之远,令不法分子有机可乘。
他举例指,不法分子会混入超市付款用户的队伍中,利用干扰器令用户连接不到原来系统,然后伺机偷龙转凤,将本应找数款项汇入自己帐户,时间只需1分钟,由于用户第一次交易失败,故第二次才是支付超市款项,变相「双重付款」蒙受损失。
Samsung Pay的MST支付方式,现实际接收範围可逾两米,容易让不法分子在附近截取款项 (资料图片)
NFC支付属双向式暂无风险
内地常用的自动售卖机声波支付也具有相同漏洞,当手机用户端发出声波,将支付权限代码传送给自动售卖机过程中,声波同样易于被盗取。至于本港常用的近场通讯(NFC)支付方式,则是采用双向式的沟通方式,用户能够知道交易有误时的情况,能够得知交易错误,商户收银机亦可通知用户有关情况,故暂时没有看到任何危险。
倡商户增指定QRcode认证ID
对于如何解决有关保安漏洞,张克环教授表示,商户可在收银系统加装指定商户QRcode,加上认证ID,以确保交易只能在该用户使用,避免被人盗取使用。他建议所有手机用户,避免胡乱安装应用程式,特别是免费程式,及不要相信不明来历的电话和信息,同时亦应尽量避免「手机越狱」(jailbreak)。
对于流动支付系统被揭有保安漏洞,金管局发言人表示,该局已要求银行在推出非接触式流动支付服务前,须确保有关服务的安全,并知悉相关服务供应商有作出评估及採取相应措施,金管局会继续密切留意这方面的发展,如有需要会作出适当跟进。发言人又提醒公众小心保管他们的手机,做好适当的保安和防御,以免承受手机被入侵的各类风险。三星发言人昨回覆传媒查询时则表示正了解事件,强调Samsung Pay经过严格测试,确保防线设置高度安全,相信成功窃取支付代码的可能性极低。
下一篇::没有了