comScoreTag 中大發現 支付寶Samsung Pay 存保安漏洞 - CTgoodjobs powered by Career Times
FancyBox

Career News

中大發現 支付寶Samsung Pay 存保安漏洞
螞蟻金服:難度高 三星:可能性極低

29 Sep 2017, 10:37:52 AM

【經濟日報專訊】近年無現金支付漸見普及,惟中大工程學院研究發現,支付寶、Samsung Pay均存保安漏洞。

其中針對支付寶用家,黑客可利用惡意程式,遙距入侵用家手機,再在交易時盜取QR code,用作另一宗交易。

Samsung Pay亦被指,用戶手機與商戶收銀機的接收範圍,較聲稱的7.5厘米遠,只要不法分子在用戶2至4米範圍內,可隔空盜用帳戶。

支付寶反駁,研究指的「漏洞」所需現實條件極高,幾乎不可行。而Samsung表示正了解事件,但認為成功竊取帳戶的可能性極低。

現時廣泛應用的流動支付代碼是二維碼(QR code)、磁條讀卡器驗證(MST)、聲波轉化,及八達通使用的NFC(近場通訊)。中大信息工程學系張克環教授指出,除NFC外,其他皆屬單向式溝通,一旦交易失敗,商戶無法通知買家,但過程產生的支付代碼無法取消,讓不法分子有機可乘。

專家:勿下載來歷不明程式
他與團隊以支付寶進行測試,通常用戶須向商戶展示其QR code,並讓對方以收銀機「嘟」來完成交易,但團隊發現,黑客可利用惡意程式,入侵手機前置鏡頭,拍攝收銀機屏幕反射出來、手機上的QR code,再立即用之進行交易,令用戶帳戶不知不覺「被交易」。

Samsung Pay 接收遠至2至4米
張續指,入侵手機的惡意程式,可直接干擾交易系統,使QR code失效。黑客盜取失效QR code後,可進行修復。他表示,支付代碼多數只維持1分鐘有效,過後不能用作交易,但若黑客有2人或以上,仍有機會作案。

支付寶在用戶使用時,會要求輸入密碼,但之後的交易則省略,掃描QR code即可。張克環表示,若要求用戶每次交易輸出密碼作雙重認證,無疑更安全,但降低流動支付便利性。

至於專屬Samsung Pay的MST,服務聲稱交易時,手機須移至收銀機附近7.5厘米,進行身份確認,惟團隊多番測試,發現實際接收範圍可遠至2至4米。張克環舉例,假如用戶在超市付款,附近有不法分子混入,不難竊取及盜用帳戶。

他表示,測試均在內地進行,至於本地廣泛的NFC,操作較安全,不在測試範圍。他建議,用家勿下載、破解來歷不明的程式,及考慮使用流動支付的需要。

支付寶母公司螞蟻金服回應,研究指的支付代碼是一次性,並在極短時間內失效;而提及的「漏洞」中,用戶手機首要被安裝惡意程式,其攻擊環境、條件要求極高,現實中幾乎不可行。

該公司又指,支付寶每天會對上億筆交易進行實時掃描,在保護個人隱私下,從帳號行為、交易環境等進行風險檢測,適時進行調查。

Samsung Pay表示,支付系統經過嚴格測試,關注到相關報道,並正了解事件,但相信成功竊取帳戶支付代碼的可能性極低。

撰文: 文羨怡、洪寶瑩

更多經濟日報網站內容, 請登入hket.com
讚好 CTgoodjobs 專頁,獲取更多求職資訊!

Good Job! Daily