手機支付存漏洞 支付寶易被盜帳戶

近年無現金支付趨普及，惟中大工程學院研究發現，支付寶、Samsung Pay均存有保安漏洞。其中針對支付寶用家，黑客可利用惡意程式，遙距入侵用家手機，再在交易時盜取QR code作另一宗交易。Samsung Pay亦被指用戶手機與商戶收銀機的接收範圍，較聲稱的7.5厘米遠，如不法分子在用戶2至4米範圍內，可隔空盜用帳戶。

在支付過程中，最廣泛應用的支付代碼為二維碼（QR code）、磁條讀卡器驗證（MST）、聲波轉化，及NFC（近場通訊）。中大信息工程學系張克環指，QR code、MST及聲波轉化皆屬單向式溝通，一旦交易失敗，商戶無法通知買家，但過程中產生的支付代碼（payment token）無法收回或取消而成漏洞，令不法分子有機可乘。

交易失敗 商戶難通知客人

張克環與團隊以支付寶作測試，通常用戶須向商戶展示其QR code，讓對方以收銀機「嘟」來完成交易。但研究發現，黑客可利用惡意程式入侵手機前置鏡頭，拍攝收銀機屏幕反射出來、手機上的QR code，再立即用來進行交易，令用戶帳戶不知不覺「被交易」。

至於專屬Samsung Pay的MST，服務聲稱交易時，手機須移至收銀機附近7.5厘米，進行身份確認，惟團隊測試發現，實際接收範圍可遠至2至4米。張舉例，如用戶在超市付款，附近有不法分子混入，不難竊取及盜用帳戶。

兩公司回應：可行性低

張指，測試均在內地進行，至於本地廣泛的NFC則不在測試範圍，因採用雙向式溝通，操作較安全。他建議用家勿下載、破解來歷不明的程式，及考慮使用流動支付的需要。

支付寶母公司螞蟻金服回應，研究指的支付代碼是一次性，並在極短時間內失效；而提及的「漏洞」中，用戶手機首要被安裝一個惡意程式，其攻擊環境、條件要求都極高，在實際生活幾乎不可行。支付寶系統每天會對上億筆交易進行實時掃描，在保護個人隱私下，從帳號行為、交易環境等進行風險檢測。

Samsung Pay表示，支付系統經嚴格測試，關注到相關報道，正了解事件，但相信成功竊取帳戶支付代碼的可能性極低。