近年,不少大公司都開始推出流動電子支付,付款不再局限在刷信用卡或是拍八達通,而是用智能裝置,如手機及智能錶等,連接不同的電子支付系統付款;電子付款多透過 NFC、聲波轉化、磁條讀卡器驗證(MST)或是一次性二維碼(QR Code)掃描交易。中大工程學院公佈研究結果,指出大家常用的流動電子支付系統,包括支付寶,竟然出現了安全漏洞,有機會被黑客利用,並在付款時「被交易」偷去金錢!
《經濟日報》引述中大信息工程學系張克環指出,某些常用的電子支付方法,包括 QR code、MST 以及聲波轉化都是「單向式溝通」,如果交易失敗,交易過程中產生的支付代碼亦無法收回、取消,容易被黑客利用。
【熱門報道】
【熱門報道】
【熱門報道】
以支付寶採用的 QR code 作交易為例,若黑客預先利用惡意程式入侵智能手機,就能夠在 QR code 付款過程中,透過收銀機屏幕反射回來的 QR code 圖案強制進行即時交易。這樣,用戶就會在不知不覺間進行了數額不明的額外交易。至於採用 MST 技術的 Samsung Pay,正常來説,手機需要放近收銀機掃描器,在 7.5 厘米接收範圍内進行身分確認才能夠交易,然而中大團隊卻發現實際的有效接收範圍,竟然達到 2 到 4 米。
中大團隊今次並沒有測試安全度較高的 NFC 付款,但就提醒大家,最重要還是要注重手機安全,避免下載不明來歷程式及自行破解手機。據報道,支付寶在得知研究結果之後已修正有關服務。
不過,香港資訊科技商會榮譽會長方保僑接受 ezone.hk 訪問時直言,對中大是次研究結果有所保留。方氏首先指出:「中大作為一家學府,在 controlled environment 作測試是無問題,但其實每家電子支付平台背後都有保安系統,實際應用時未必如測試般危險。」他以 Samsung Pay 為例,莫說是 2 米距離,實際應用時即使是 1 米距離,已無法讀取手機資料。此外,採用 QR code 交易其實等如「一次性」token 模式,即使 QR code 被黑客偷取,在 token 進行一次交易後,即告失效,黑客得物也無所用。至於中大建議市民不要破解及改裝手機,方保僑補充說:「其實大部分金融、支付類別的 Apps,一經偵測到手機被 root 及改裝,便無法被開啟,除了 Samsung Pay 之外,八達通的 O! ePay 服務也可作出這類保障。」他最後提到一點,指 Samsung Pay 及 Apple Pay 等電子支付平台,每當進行交易後,隨即會向用家推送通知(Push Notification),如用家收到不明來歷的交易通知,就會知道帳戶被盜用,事實上是十分安全的交易系統。
此外,Samsung 香港亦有就今次研究結果作出官方回應:「Samsung Pay 支付系統經過嚴格的測試,以確保防線設置高度安全。我們關注到最近相關的報道,並正了解事件,但我們相信成功竊取支付代碼的可能性極低。」
Source:ezone.hk、HKET ToPick、經濟日報圖片庫