流動支付系統揭有保安漏洞 支付寶Samsung Pay被指易遭盜款
QR Code支付寶Samsung Pay手機安全流動支付系統張克環
市民使用流動電子支付日趨盛行,但中大研究發現包括內地極為流行的「支付寶」以至三星使用的「Samsung Pay」等流動支付系統都存在潛在安全問題。尤其是支付寶使用二維條碼(QR Code)要靠用手機鏡頭進行掃描,不法份子能用黑客程式入侵手機的前置鏡頭,偷取拍攝掃瞄器所顯示的QR Code倒影,不法份子就能利用該QR Code進行未經授權的交易。
中大信息工程學系教授張克環解釋,目前業界廣泛使用4種支付渠道包括NFC、QR Code、MST和聲波轉化,但除了NFC外,其他屬單向式溝式,一旦交易失敗,商戶收銀機無法通知手機用戶,用作驗證交易是否合法的代碼(TOKEN)亦無法被收回或取消,令不法分子有機可乘利用惡意軟件盜取TOKEN。至於三星的「Samsung Pay」則是採用磁條讀卡器驗證(MST),雖然三星要求用戶使用時要將手機貼近讀卡器,但研究發現事實上距離讀卡器2米的地方都可接收到交易訊號,同樣有機會被不法份子盜取。
張克環表示,已將研究結果向相關的第三方支付平台報告對方承諾作出跟進,隨即關閉「付款QR Code線上轉賬功能」,僅保留QR Code離線支付功能。他建議手機用戶在使用相關電子支付時應提高警覺性,避免下載不明來歷的手機應用程式,更不要Jail-break(破解)手機。
不過,香港資訊科技商會榮譽會長方保僑質疑今次研究結論,包括指讀卡器遠達兩米外也收到訊號的說法,認為有誇大之嫌,又指即使用家的TOKEN(代碼)被盜取也無需擔心,「因為個設計根本係唔容許TOKEN用第二次」。他又指Samsung Pay在每次交易後也有推播通知給用家,可令用戶清楚每次交易詳情。
支付寶回應指,中大研究所提到的用戶付款過程中產生的支付令牌(TOKEN)是一次性的,並在極短時間內失效;而研究所指出的安全「漏洞」,需要用戶設備中首要被安裝了一個惡意應用,而且其攻擊環境和條件要求都極高,在實際生活中幾乎不具有可行性。支付寶用一整套的智能實時風控系統(CTU)來保障用戶的賬戶安全,CTU系統集風險分析、預警、控制為一體,對支付寶平台上每天發生的上億筆交易進行實時掃描,從8個維度進行風險檢測,並在保護用戶個人隱私的前提下,從賬號行為、交易環境、關聯關係等維度去分析,對發現的風險進行稽查及處置。CTU系統還會通過數據分析、數據挖掘進行機器學習,自動更新完善風險監控策略,不斷提升風控能力。在智能實時風控系統的保護下,目前支付寶的交易資損率不到百萬分之一,遠低於國際領先支付機構千分之二的風險水平。
Samsung回應指,Samsung Pay支付系統經過嚴格的測試,以確保防線設置高度安全。公司關注到最近相關的報道,並正了解事件,但相信成功竊取支付代碼的可能性極低。
張克環稱支付寶使用QR Code作為支付認證,但黑客可透過惡意程式操控手機前置鏡頭偷取QR code。(張文鈴攝)
張克環稱由於QR Code、MST和聲波轉化是都單向式溝式,一旦交易失敗,收銀機都無法通知手機系統,亦無法取消交易。(張文鈴攝)