現在是越來越多的人以手機支付程式購物, 支付房租水電等生活方式, 可是根據中文大學工程學院最新研究發現流動支付系統的保安漏洞, 兩款較常見手機支付方式, 包括支付寶的二維碼、專屬Samsung Pay磁條讀卡器驗證, 有的不法分子可在用戶支付的短時間內, 透過惡意程式竊取支付代碼(token), 取得使用者的交易權, 在使用者不知情下盜走款項。
中大工程學院公佈研究結果顯示, 以現時普及度最高的QR Code為例, 若用戶手機曾下載過來歷不明的程式、改機或破解過手機版本, 當用戶在餐廳、超市等地方交易時, 不法分子循預先安裝的駭客程式, 利用干擾器令QR code失靈, 然後控制手機鏡頭竊取掃描器玻璃面上的QR倒影, 偷龍轉鳳將本應找數款項, 匯入自己帳號帳戶或作其他交易使用, 過程只需一分鐘。 由於使用者無法查證第一次交易失敗, 故第二次支付才是商店款項,
至於專屬Samsung Pay的MST支付方式, 服務聲稱交易時, 要將手機移至收銀機附近七點五釐米進行身份確認, 惟研究團隊多番測試後, 發現實際接收範圍可逾兩米, 容易讓不法分子在用戶附近截取款項。 團隊曾用隱藏天線在收銀處兩米範圍內, 成功截斷手機支付和收銀系統的連接, 並短時間內取得用戶手機的支付代碼。
中大資訊工程學系教授張克環表示, QR code、MST及聲波轉化皆屬單向式溝通, 交易失敗時無法收回或取消過程中產生的支付權杖(payment code);至於其他在香港常用支付模式--近場通信(NFC), 如八達通、apple pay等, 支付方式則採用雙向式的溝通方式, 使用者能夠得知交易有誤和交易錯誤的情況, 商戶收銀機亦可通知使用者有關情況,
張克環表示, 研究結果已去信有關公司, 支付寶稱已堵塞掃描QR code的漏洞, 限制交易QR code的用途, 而Samsung回應稱確實有交易漏洞, 會改善相關問題。 張克環建議, 商戶可在收銀系統加裝指定商戶QR code, 使用者每次支付交易均加上獨特的認證ID, 加強交易許可權存取, 以確保交易只為該使用者使用, 避免他人盜取。
對於流動支付系統被揭有保安漏洞, 金管局發言人表示, 該局已要求銀行在推出非接觸式流動支付服務前, 須確保有關服務的安全, 並知悉相關服務供應商有作出評價及採取相應措施, 金管局會繼續密切留意這方面的發展, 如有需要會作出適當跟進。 發言人又提醒公眾小心保管他們的手機,
我部分內容轉載自香港新聞網9月29日電 香港《星島日報》