• °C
香港時間:20181119日 星期一 23:13
港聞

手機支付存漏洞 支付寶易被盜帳戶

Samsung Pay接收範圍過大

2017/09/29
分享:

近年無現金支付趨普及,惟中大工程學院研究發現,支付寶、Samsung Pay均存有保安漏洞。其中針對支付寶用家,黑客可利用惡意程式,遙距入侵用家手機,再在交易時盜取QR code作另一宗交易。Samsung Pay亦被指用戶手機與商戶收銀機的接收範圍,較聲稱的7.5厘米遠,如不法分子在用戶2至4米範圍內,可隔空盜用帳戶。

在支付過程中,最廣泛應用的支付代碼為二維碼(QR code)、磁條讀卡器驗證(MST)、聲波轉化,及NFC(近場通訊)。中大信息工程學系張克環指,QR code、MST及聲波轉化皆屬單向式溝通,一旦交易失敗,商戶無法通知買家,但過程中產生的支付代碼(payment token)無法收回或取消而成漏洞,令不法分子有機可乘。

交易失敗 商戶難通知客人

張克環與團隊以支付寶作測試,通常用戶須向商戶展示其QR code,讓對方以收銀機「嘟」來完成交易。但研究發現,黑客可利用惡意程式入侵手機前置鏡頭,拍攝收銀機屏幕反射出來、手機上的QR code,再立即用來進行交易,令用戶帳戶不知不覺「被交易」。

至於專屬Samsung Pay的MST,服務聲稱交易時,手機須移至收銀機附近7.5厘米,進行身份確認,惟團隊測試發現,實際接收範圍可遠至2至4米。張舉例,如用戶在超市付款,附近有不法分子混入,不難竊取及盜用帳戶。

兩公司回應:可行性低

張指,測試均在內地進行,至於本地廣泛的NFC則不在測試範圍,因採用雙向式溝通,操作較安全。他建議用家勿下載、破解來歷不明的程式,及考慮使用流動支付的需要。

支付寶母公司螞蟻金服回應,研究指的支付代碼是一次性,並在極短時間內失效;而提及的「漏洞」中,用戶手機首要被安裝一個惡意程式,其攻擊環境、條件要求都極高,在實際生活幾乎不可行。支付寶系統每天會對上億筆交易進行實時掃描,在保護個人隱私下,從帳號行為、交易環境等進行風險檢測。

Samsung Pay表示,支付系統經嚴格測試,關注到相關報道,正了解事件,但相信成功竊取帳戶支付代碼的可能性極低。

分享:

生活資訊
「輪狀病毒出沒注意! 不停痾嘔,BB最高危?」

「輪狀病毒出沒注意! 不停痾嘔,BB最高危?」

2018/11/19
「輪狀病毒出沒注意! 不停痾嘔,BB最高危?」
「撐本地音樂!支持MUSIC GIG音樂會」

「撐本地音樂!支持MUSIC GIG音樂會」

2018/11/15
「撐本地音樂!支持MUSIC GIG音樂會」
「急急嚴防肌膚衰老」

「急急嚴防肌膚衰老」

2018/11/16
「急急嚴防肌膚衰老」
「蜆殼/港島青商展能學童獎學金 宣揚校園共融力量」

「蜆殼/港島青商展能學童獎學金 宣揚校園共融力量」

2018/11/15
「蜆殼/港島青商展能學童獎學金 宣揚校園共融力量」
「立山‧黑部峽谷 360°零死角賞自然美」

「立山‧黑部峽谷 360°零死角賞自然美」

2018/11/15
「立山‧黑部峽谷 360°零死角賞自然美」