香港中通社9月28日電 香港中文大學研究發現流動支付系統的保安漏洞,包括二維碼(QR Code)、掃描、磁條讀卡器驗證(MST)和聲波轉化等支付渠道都有保安漏洞。
香港中文大學信息工程學系教授張克環的研究團隊發現,常用的四種流動支付渠道中,除了香港最常用的近場通訊(NFC)外,其餘三種支付渠道,即二維碼(QR Code)、掃描、磁條讀卡器驗證(MST)和聲波轉化都有保安漏洞。
以內地支付寶常用的QR Code為例,不法份子可利用惡意程式入侵手機,再控制手機前置鏡頭。當用戶使用QR Code交易時,手機前置鏡頭可反射拍攝掃瞄器所顯示的QR Code倒影,可經網絡傳送到不法份子手上,再使用該QR Code交易。
除了上述方法,不法份子亦可入侵用家手機,自動彈出提示詢問用家是否更新QR Code,不論選擇如何,QR Code都會遭自動更新,而舊有的QR Code在不知不覺間已被盜取。
另一種專屬三星流動支付系統的MST,交易時需將手機移到商戶收銀機7.5厘米範圍內確認身份。不過,研究團隊發現,交易波頻的實際距離可遠至兩米。當不法分子混入實體交易隊伍時,由於與付款者距離較近,可透過程式發動攻擊,竊取及盜用支付令牌。
至於香港交易常用的NFC,如Apple Pay和Android Pay則屬雙向式溝通,暫未發現保安漏洞。
研究團隊已將研究向相關第三方支付平台報告,其中支付寶已復修系統;三星則承諾改善。張克環指,如消費者未有檢查交易紀錄,根本不會知道交易令牌遭盜用,交易金額亦無上限。他建議,手機用戶避免下載來歷不明的應用程式,以免遭不法份子攻擊。(完)
