558      新东方

手机支付存漏洞 支付宝三星易被盗帐户

近年无现金支付趋普及，惟中大工程学院研究发现，支付宝、Samsung Pay均存有保安漏洞。其中针对支付宝用家，黑客可利用恶意程式，遥距入侵用家手机，再在交易时盗取QR code作另一宗交易。Samsung Pay亦被指用户手机与商户收银机的接收范围，较声称的7.5厘米远，如不法分子在用户2至4米范围内，可隔空盗用帐户。

在支付过程中，最广泛应用的支付代码为二维码（QR code）、磁条读卡器验证（MST）、声波转化，及NFC（近场通讯）。中大信息工程学系张克环指，QR code、MST及声波转化皆属单向式沟通，一旦交易失败，商户无法通知买家，但过程中产生的支付代码（payment token）无法收回或取消而成漏洞，令不法分子有机可乘。

交易失败 商户难通知客人

张克环与团队以支付宝作测试，通常用户须向商户展示其QR code，让对方以收银机“嘟”来完成交易。但研究发现，黑客可利用恶意程式入侵手机前置镜头，拍摄扫瞄器上的QR Code的倒影，再立即用来进行交易，令用户帐户不知不觉“被交易”。

除了上述方法，不法份子亦可入侵用家手机，自动弹出提示询问用家是否更新QR Code，不论选择如果，QR Code都会遭自动更新，而旧有的QR Code在不知不觉间已被盗取。

MST接收远至2米易截资料

至于专属Samsung Pay的MST，服务声称交易时，手机须移至收银机附近7.5厘米进行身份确认，惟团队多番测试后发现，实际接收范围可远至2至4米。例如：用户在超市付款，附近有不法分子混入，由于与付款者距离较近，可透过程式发动攻击，窃取及盗用支付令牌。

张克环解释，支付令牌用作身分认证，可确认手机用户所发出的付款指示与商户收银机所显示的交易是否吻合，而每宗交易都有独特的付款令牌。但上述支付系统均采用单向式沟通，即交易失败时无法透过手机通知付款者，交易用的支付令牌亦不会自动取消，令不法份子有机会盗用。

张克环指，测试均在内地进行，至于本地交易常用的NFC，如Apple Pay和Android Pay则属双向式沟通，暂未发现保安漏洞。他建议用家勿下载、破解来历不明的程式，及考虑使用流动支付的需要。中大团队已向包括支付宝与三星等相关公司反映结果，以修补交易漏洞。

两公司回应：可行性低

支付宝母公司蚂蚁金服回应，研究指的支付代码是一次性，并在极短时间内失效；而提及的“漏洞”中，用户手机首要被安装一个恶意程式，其攻击环境、条件要求都极高，在实际生活几乎不可行。支付宝系统每天会对上亿笔交易进行实时扫描，在保护个人隐私下，从帐号行为、交易环境等进行风险检测。

Samsung Pay表示，支付系统经严格测试，关注到相关报导，正了解事件，但相信成功窃取帐户支付代码的可能性极低。

更多精彩内容欢迎关注微信公众号【香港荟】（ID:hkgathering）

最后更新：2017-10-08 07:40:30

  上一篇： 假借“支付宝”之名的“穷人文案”，让你想起了什么？

  下一篇： 支付宝否认的“扎心文案”原来是它做的