558      支付寶

手機支付存漏洞 支付寶三星易被盜帳戶

近年無現金支付趨普及，惟中大工程學院研究發現，支付寶、Samsung Pay均存有保安漏洞。其中針對支付寶用家，黑客可利用惡意程式，遙距入侵用家手機，再在交易時盜取QR code作另一宗交易。Samsung Pay亦被指用戶手機與商戶收銀機的接收範圍，較聲稱的7.5厘米遠，如不法分子在用戶2至4米範圍內，可隔空盜用帳戶。

在支付過程中，最廣泛應用的支付代碼為二維碼（QR code）、磁條讀卡器驗證（MST）、聲波轉化，及NFC（近場通訊）。中大信息工程學係張克環指，QR code、MST及聲波轉化皆屬單向式溝通，一旦交易失敗，商戶無法通知買家，但過程中產生的支付代碼（payment token）無法收回或取消而成漏洞，令不法分子有機可乘。

交易失敗 商戶難通知客人

張克環與團隊以支付寶作測試，通常用戶須向商戶展示其QR code，讓對方以收銀機“嘟”來完成交易。但研究發現，黑客可利用惡意程式入侵手機前置鏡頭，拍攝掃瞄器上的QR Code的倒影，再立即用來進行交易，令用戶帳戶不知不覺“被交易”。

除了上述方法，不法份子亦可入侵用家手機，自動彈出提示詢問用家是否更新QR Code，不論選擇如果，QR Code都會遭自動更新，而舊有的QR Code在不知不覺間已被盜取。

MST接收遠至2米易截資料

至於專屬Samsung Pay的MST，服務聲稱交易時，手機須移至收銀機附近7.5厘米進行身份確認，惟團隊多番測試後發現，實際接收範圍可遠至2至4米。例如：用戶在超市付款，附近有不法分子混入，由於與付款者距離較近，可透過程式發動攻擊，竊取及盜用支付令牌。

張克環解釋，支付令牌用作身分認證，可確認手機用戶所發出的付款指示與商戶收銀機所顯示的交易是否吻合，而每宗交易都有獨特的付款令牌。但上述支付係統均采用單向式溝通，即交易失敗時無法透過手機通知付款者，交易用的支付令牌亦不會自動取消，令不法份子有機會盜用。

張克環指，測試均在內地進行，至於本地交易常用的NFC，如Apple Pay和Android Pay則屬雙向式溝通，暫未發現保安漏洞。他建議用家勿下載、破解來曆不明的程式，及考慮使用流動支付的需要。中大團隊已向包括支付寶與三星等相關公司反映結果，以修補交易漏洞。

兩公司回應：可行性低

支付寶母公司螞蟻金服回應，研究指的支付代碼是一次性，並在極短時間內失效；而提及的“漏洞”中，用戶手機首要被安裝一個惡意程式，其攻擊環境、條件要求都極高，在實際生活幾乎不可行。支付寶係統每天會對上億筆交易進行實時掃描，在保護個人隱私下，從帳號行為、交易環境等進行風險檢測。

Samsung Pay表示，支付係統經嚴格測試，關注到相關報導，正了解事件，但相信成功竊取帳戶支付代碼的可能性極低。

更多精彩內容歡迎關注微信公眾號【香港薈】（ID:hkgathering）

最後更新：2017-10-08 07:40:30

  上一篇： 假借“支付寶”之名的“窮人文案”，讓你想起了什麼？

  下一篇： 支付寶否認的“紮心文案”原來是它做的