手機支付存漏洞 支付寶易被盜帳戶

Samsung Pay接收範圍過大

2017/09/29

支付寶應使用方便,僅用手機便可付款,於內地深受歡迎。(新華社資料圖片)

近年無現金支付趨普及,惟中大工程學院研究發現,支付寶、Samsung Pay均存有保安漏洞。其中針對支付寶用家,黑客可利用惡意程式,遙距入侵用家手機,再在交易時盜取QR code作另一宗交易。Samsung Pay亦被指用戶手機與商戶收銀機的接收範圍,較聲稱的7.5厘米遠,如不法分子在用戶2至4米範圍內,可隔空盜用帳戶。

在支付過程中,最廣泛應用的支付代碼為二維碼(QR code)、磁條讀卡器驗證(MST)、聲波轉化,及NFC(近場通訊)。中大信息工程學系張克環指,QR code、MST及聲波轉化皆屬單向式溝通,一旦交易失敗,商戶無法通知買家,但過程中產生的支付代碼(payment token)無法收回或取消而成漏洞,令不法分子有機可乘。

交易失敗 商戶難通知客人

張克環與團隊以支付寶作測試,通常用戶須向商戶展示其QR code,讓對方以收銀機「嘟」來完成交易。但研究發現,黑客可利用惡意程式入侵手機前置鏡頭,拍攝收銀機屏幕反射出來、手機上的QR code,再立即用來進行交易,令用戶帳戶不知不覺「被交易」。

至於專屬Samsung Pay的MST,服務聲稱交易時,手機須移至收銀機附近7.5厘米,進行身份確認,惟團隊測試發現,實際接收範圍可遠至2至4米。張舉例,如用戶在超市付款,附近有不法分子混入,不難竊取及盜用帳戶。

兩公司回應:可行性低

張指,測試均在內地進行,至於本地廣泛的NFC則不在測試範圍,因採用雙向式溝通,操作較安全。他建議用家勿下載、破解來歷不明的程式,及考慮使用流動支付的需要。

支付寶母公司螞蟻金服回應,研究指的支付代碼是一次性,並在極短時間內失效;而提及的「漏洞」中,用戶手機首要被安裝一個惡意程式,其攻擊環境、條件要求都極高,在實際生活幾乎不可行。支付寶系統每天會對上億筆交易進行實時掃描,在保護個人隱私下,從帳號行為、交易環境等進行風險檢測。

Samsung Pay表示,支付系統經嚴格測試,關注到相關報道,正了解事件,但相信成功竊取帳戶支付代碼的可能性極低。

現時香港有多個商戶接受Samsung Pay付款。(資料圖片)

更多實用生活貼士,讚好晴報 Facebook 專頁
生活訊息
「子女不是出氣袋 三個愛的守則不做低EQ父母」

「子女不是出氣袋 三個愛的守則不做低EQ父母」

2018/09/21
「子女不是出氣袋 三個愛的守則不做低EQ父母」
「手機App助人精明理財 大學生有計!」

「手機App助人精明理財 大學生有計!」

2018/09/10
「手機App助人精明理財 大學生有計!」

更多內容

高鐵啟航 乘客有讚有彈

港聞
2018/09/24

高鐵短綫遊受熱捧 有旅行社擬月辦200團

港聞
2018/09/24

諾貝爾獎得主 改變世界 「光纖之父」高錕離世享年84歲

港聞
2018/09/24

可寫字拿筷子 成本低於$400 中四生研製機械義肢

港聞
2018/09/24

6成用醫療券長者 曾被濫收費

港聞
2018/09/24

翹翠峰三級火單位 發現女焦屍

港聞
2018/09/24

中小企員工 呻1人分身4角

港聞
2018/09/24

輔導員僅獲3天與學生道別 「一校一社工」被批推行過急

港聞
2018/09/24

玻璃幕牆難敵風暴 林超英倡規管

港聞
2018/09/24

立體「蕉」牌提防跣 網民︰勁搶眼

港聞
2018/09/24

多管齊下 搶險救急

港聞
2018/09/24

賞燈好去處 利東街中港城7米月兔迎中秋

港聞
2018/09/24

復康會×八達通 助輪椅人士融入社區

港聞
2018/09/24

官燕棧登陸天貓 主打傳統滋補輕食養生

港聞
2018/09/24

為甚麼與如何

港聞
2018/09/24

改善夜尿好辦法

港聞
2018/09/24

打風都要食得有營

港聞
2018/09/24

無車搭,點返工?

港聞
2018/09/24

買繪本最佳途徑

港聞
2018/09/24

物理治療激活腦神經 助中風復元

港聞
2018/09/24