香港中文大學信息工程學系保安研究實驗室,早前發表關於流動支付系統安全的報告,指出一些保安漏洞,促使「內地」的第三方主要支付平台及時採取相應措施防範詐騙。報告指在流動支付過程中,作為身份驗證的支付令牌(Payment Token),是手機用戶端及商戶收銀機溝通的核心,常用技術有近場通訊(Near Field Communication;NFC)、二維碼(QR Code)、磁條讀卡器驗證(Magnetic Secure Transmission;MST)及聲波轉化(audio signal) 。
除了 NFC 之外,其餘 3 項皆為單向通訊,一旦交易失敗,商戶收銀機無法通知手機用戶端,支付令牌無法回收或取消,令不法分子有機可乘。研究亦發現,不法份子利用惡意程式,盜取手機上的 QR Code 支付令牌,再用於另一宗交易,令用戶蒙受損失。報告又指,《Samsung Pay》專用的 MST 技術,進行交易時手機需要貼近終端機 7.5cm 進行認證,但報告指實際接收範圍可能遠至兩米,令不法分子可以發動遠距攻擊,盜取支付令牌,另外進行交易。
不過,這份研究報告指出的保安漏洞,似乎都在受控環境(controlled environment)中測試出來。每項研究都有其理據,但在實際環境下,是否如報告結果一樣呢?筆者有以下幾個疑問:
- (1)報告針對內地支付平台研究,但是否同樣適用於香港?例如香港支付寶用戶端的 QR Code 只會用 1 次,每次用完均會失效,就算黑客盜取亦「得物無所用」,這是系統的保安設計;同樣,系統保安設計亦適用於《Samsung Pay》及《Apple Pay》的支付令牌,內容經過加密,基本上是整個保安措施的精髓所在。
- (2)報告指《Samsung Pay》的 MST 技術在遠至兩米範圍亦能接收到,但記招當日卻沒即場作出任何示範,有關測試是否只在實驗室內測試?如果 MST 技術射程這麼遠,那麼每次使用《Samsung Pay》時,除了在使用中的信用卡讀卡機之外,旁邊的讀卡機是否亦可能會接收到訊號?其實使用《Samsung Pay》的 MST 時,手機需要對準並貼近信用卡讀卡機才能使用,所以別說可以在兩米範圍,即使是在半米範圍下,能夠截取訊號的可能性亦非常低,況且就算短時間能盜取支付令牌,令牌亦會因為已被用戶使用了而失效。
- (3)研究團隊亦建議用家不要破解(root)《Android》手機的保安系統,因為可能會感染病毒及木馬程式,這是正確的建議,但其實很多支付系統程式,包括《Samsung Pay》、《PayMe》及《O!ePay》等,《Android》手機在破解後該程式已經不能正常運作,這亦是系統保安設計之一。
- (4)《Samsung Pay》流動應用程式(app)在每次使用後會兼有推播通知(Push Notification),令用戶知道支付程式是否被人盜用,類似做法亦適用於《Apple Pay》手機程式;個別銀行亦會在客戶每次使用信用卡交易之後,向用戶發出短訊提醒。上面這兩項措施,是保安系統的另外一條防線。
以學術研究報告提醒大家手機應用程式上的漏洞,是善意的做法,我認為大家亦應使用 Android Play Protect (《Android 7.0 》後適用)及加裝手機防毒軟件,以防萬一。不過,報告更應該要清楚指出,香港的支付系統在商業應用上是有相應保安措施,防止保安漏洞出現,金管局亦有嚴格條例監管,這樣才可以避免製造公眾恐慌,否則令人覺得是次報告是小題大做。
以上內容純屬作者個人意見,並不代表本網立場。
Photo:Blogtrepreneur
Source:ezone.hk