支付寶三星易被盜款 中大揭手機支付存漏洞

        日趨盛行的流動支付系統存在保安漏洞!中大信息工程學院發現,三種流動支付系統包括三星電話專用的MST、內地支付寶常用的QR Code,以及聲波轉化,均可被不法之徒盜取身份認證的支付令牌(Payment Token),令用家蒙受金錢損失。

        領導研究團隊的中大信息工程學系教授張克環指,除本港最常用的近場通訊(NFC)外,其餘三種被廣泛使用的流動支付系統,包括MST(磁條讀卡器驗證)、QR Code(二維碼)掃描和聲波轉化,均屬單向式溝通的付款方式,一旦交易失敗,商戶收銀機無法通知手機用戶,已產生的支付令牌亦無法收回,讓不法份子有機可乘。利用MST進行交易時,用戶需將手機移到商戶收銀機的七點五厘米範圍內,惟測試發現交易波頻的實際距離可達兩米,不法份子可在用戶附近透過程式發動攻擊,盜用支付令牌,而常用於自動售賣機的聲波支付亦有相同漏洞。

  研究又發現,當利用QR Code掃描進行交易時,不法份子可利用惡意程式控制手機前置鏡頭,拍攝顯示在手機屏幕上的QR Code倒影,以進行未獲授權交易。研究團隊已將結果交給相關第三方支付平台,對方承諾改善。

  張克環建議,手機用戶避免下載來歷不明的應用程式,及避免「手機越獄」(jailbreak),免招損失。

hd