中大揭流動支付系統現保安漏洞 QR Code、三星MST也中招

撰文:張雅婷 潘希橋
出版:更新:

手機流動支付系統日趨普及,但當中的保安漏動亦惹人關注。中大發現QR Code、三星電話專用的MST現保安漏洞,不法份子可藉此複製及盜取作交易身分認證的「支付令牌」(Payment Token),令消費者蒙受金錢損失。研究團隊已將漏洞知會相關的第三方平台,對方承諾改善。
 Samsung Pay表示,關注最近相關的報道,並正了解事件,又表示相信成功竊取支付代碼的可能性極低。

張克環發現,不法份子可更改原有的QR Code,再盜取使用。(張雅婷攝)

香港中文大學信息工程學系教授張克環的研究團隊發現,常用的四種流動支付渠道中,除了本港最常用的近場通訊(NFC)外,其餘三種支付渠道,即二維碼(QR Code)、掃描、磁條讀卡器驗證(MST)和聲波轉化都有保安漏洞。

以內地支付寶常用的QR Code為例,不法份子可利用惡意程式入侵手機,再控制手機前置鏡頭。當用戶使用QR Code交易時,手機前置鏡頭可反射拍攝掃瞄器所顯示的QR Code倒影,可經網絡傳送到不法份子手上,再使用該QR Code交易。

除了上述方法,不法份子亦可入侵用家手機,自動彈出提示詢問用家是否更新QR Code,不論選擇如果,QR Code都會遭自動更新,而舊有的QR Code在不知不覺間已被盜取。

另一種專屬三星流動支付系統的MST,交易時需將手機移到商戶收銀機7.5厘米範圍內確認身份。不過,研究團隊發現,交易波頻的實際距離可遠至兩米。當不法分子混入實體交易隊伍時,由於與付款者距離較近,可透過程式發動攻擊,竊取及盜用支付令牌。

Apple Pay進入香港時,曾一度引發熱議。(資料圖片/路透社)

Apple Pay、Android Pay未現漏洞
張克環解釋,支付令牌用作身分認證,可確認手機用戶所發出的付款指示與商戶收銀機所顯示的交易是否吻合,而每宗交易都有獨特的付款令牌。但上述支付系統均採用單向式溝通,即交易失敗時無法透過手機通知付款者,交易用的支付令牌亦不會自動取消,令不法份子有機會盜用。至於本港交易常用的NFC,如Apple Pay和Android Pay則屬雙向式溝通,暫未發現保安漏洞。

張克環指,研究團隊已將研究向相關第三方支付平台報告,三星承諾改善。(資料圖片)

支付寶已復修系統 三星承諾改善

研究團隊已將研究向相關第三方支付平台報告,其中支付寶已復修系統;三星則承諾改善。張克環指,如消費者未有檢查交易紀錄,根本不會知道交易令牌遭盜用,交易金額亦無上限。他建議,手機用戶避免下載來歷不明的應用程式,以免遭不法份子攻擊。

Samsung Pay表示,支付系統經過嚴格的測試,關注到最近相關的報道,正了解事件,相信成功竊取支付代碼的可能性極低。

方保僑:「支付令牌」只在即時產生 除非即時盜用
香港資訊科技商會榮譽會長方保僑認為,有關研究不貼合現實生活,形容是「小題大造」。他解釋,大部分電子付款的二維碼以及作交易身分認證的「支付令牌」(Payment Token),都只限一次性使用,「Token是在交易當刻即時產生,除非盜取者在你準備付款時盜取,並且推開你搶先用手機付款,否則根本難達到目的。」

電子交易「推送」顯示可作提醒
他又指在現實生活中,即使是手機在近距離進行交易掃描,亦不時要「掃兩三次」才掃描到,研究中稱能遠在數米掃描到,是不符合現實。他又指大部分手機電子交易在事後都會發送「推送」顯示,部分銀行更會發送短訊確認,認為研究可以作為一種提醒,但難以說明情況會構成日常危機。