暗網潛航——安心出行與電子支付

  有報道指,有「安心出行」的QR Code被掉包,引致掃描時候手機會自動跳出「電子支付程式」,令人非常憂慮。一些自稱專家更聲言,這種危機會伸延至以QR Code使用的「電子支付」也有高風險情況。筆者作為一個曾經拆解「安心出行」程式機制的訊息安全專家,跟大家分享一下我的看法。

  首先,「安心出行」所使用的QR Code,是由政府後台伺服器所生成的動態QR Code,當使用「安心出行」程式進行掃描便會開始由後台伺服器進行驗證以辨別真偽,所以如果QR Code被掉包連接至「電子支付」,一定會跳出錯誤訊息。如果被掉包成功,可能是被掉包的QR Code是政府以外的後台伺服器所生成的偽動態QR Code。至於「安心出行」App成功接受原因,是因為用家沒有使用GPS驗證地點位置。

  為甚麼掃描QR Code會彈出「電子支付」程式呢?唯一可能性是用家使用手機鏡頭直接在瀏覽器內進行掃描,而非使用「安心出行」程式,而且掉包上去的是一個真實支付QR Code。因此掉換「安心出行」QR code,基本上不會影響「電子支付」程式。

  此外,如果掉包的真是一個支付QR Code,使用者按鍵付錢便真的付錢。但所有「電子支付」在起動帳號時,已經限制使用額或已進行實名登記,這全都是可以追查。如果有人用這個方法來詐騙,基本上不能逃避法律責任。

  QR Code作為電子支付媒介已有一段時間,在早期的確有人以掉包或偽造支付QR Code作為欺騙手段。但隨着電子支付國際行業安全基準組織作出技術和指引改進,並在世界各地由有授予牌照的訊息安全專家和監管機構負責進行檢測、審計、監管和偵查。正因為支付閘道的後台伺服器會作出驗證,所以支付QR Code是難以偽造,大家可安心使用。

TOZ聯合創辦人

龐博文


hd