分享交流站情報

電子支付日漸普及，中文大學工程學院研究發現，以二維碼（QR Code）支付的支付寶及Samsung Pay存在保安漏洞，即使買二、三十元的快餐也有可能被盜用。分享 facebook 電子支付日漸普及，中文大學工程學院研究發現，以二維碼（QR Code）支付的支付寶及Samsung Pay存在保安漏洞，即使買二、三十元的快餐也有可能被盜用！學者指出，香港常用的NFC支付平台，如Apple Pay及Android Pay由於是雙向模式，電話可即時反饋，相對較安全。不過，三星及支付寶開發商螞蟻金服均派定心丸，強調系統經嚴格檢測，被竊取支付代碼可能性極低。大公報報導，中大資訊工程學系助理教授張克環與團隊，就各種移動支付系統的安全及防護作研究及分析。他們過去兩年研究近場通訊（NFC）、二維碼（QR Code）掃描、磁條讀卡器驗證（MST）和聲波轉化。除NFC外，其他三項皆屬單向式溝通，即交易失敗後無法即時反饋，故指出NFC支付相對較為安全。據報導，張克環以支付寶使用二維條碼（QR Code）作例子，指不法分子能用駭客程式入侵手機的前置鏡頭，偷取拍攝掃描器所顯示的QR Code倒影，便可利用該QR Code進行未經授權的交易。其團隊於北京快餐店進行測試，成功於一分鐘內盜取二維碼並購買飲品。至於採用MST的「Samsung Pay」，雖然三星要求用戶使用時要將手機貼近讀卡器，但研究發現距離讀卡器兩米內的地方均可接收交易信號，同樣有機會被不法分子盜取。報導稱，張克環說，團隊已向有關公司報告問題，支付寶並作出改善，為用戶提供不同二維碼。他又表示，每一部手機屏幕亮度有其獨特性，如山勢有「等高線」顯示般，手機屏幕也有「等亮線」，團隊下一步將研究，如何識別手機等亮線加強支付保安。報導指出，三星電子香港發言人表示，Samsung Pay支付系統經過嚴格的測試，以確保防線設置高度安全。公司關注到最近相關的報導，並正了解事件，但相信成功竊取支付代碼的可能性極低。螞蟻金服：智能即時控管螞蟻金服發言人回應查詢稱，研究報告中在多項假設下出現安全「漏洞」，其攻擊環境和條件要求都極高，在實際生活中幾乎不具有可行性。發言人說，支付寶用一整套的智能實時風控系統（CTU）來保障用戶帳戶安全，在CTU保護下，目前支付寶的交易資損率不到百萬分之一，遠低於國際領先支付機構千分之二的風險水平。

(繼續閱讀...)