文章日期 : 2017年9月29日

黑客侵手機 開鏡頭偷拍傳送
中大揭支付QR Code可被偷

【明報專訊】手機流動支付發展迅速,但亦衍生安全問題。中文大學工程學院研究發現,流動支付常用的二維碼(QR Code)掃描,以及磁帶讀卡器驗證(MST)技術,存在保安漏洞,讓不法分子有機可乘,令用戶蒙受金錢損失。至於港人常用的Apple Pay和Android Pay,因採用近場通訊(NFC)技術,研究團隊指比較安全。

Apple Pay和Android Pay較安全

研究由中大信息工程學系的「系統保安研究實驗室」進行,帶領團隊的張克環教授指出,用了兩年時間研究不同支付系統的保安漏洞,並於內地測試。他指除NFC技術採用雙向溝通,讓用戶即時知道交易情况外,QR Code及MST技術皆採用單向式溝通,交易失敗也無法通知用戶,而用作授權付款的「支付令牌」(Payment Token)亦不能收回或取消,令不法分子有機可乘。

單向溝通技術存漏洞

團隊發現,用戶手機被惡意程式入侵後,用戶在使用QR Code付款時,前置鏡頭會啟用,以偷拍反射在掃描器玻璃上的QR Code倒影,再經網絡傳送給不法分子,用於另一交易(見圖)。

此外,被入侵的手機亦可能於付款時,將QR Code其中一角的特徵抹走,令系統視作無效並拒絕交易。不法分子會將QR Code還原,用於另一宗交易圖利。

Samsung Pay接收範圍達4米

至於三星手機專用的流動支付系統MST,官方稱閱讀器與手機的無線交易接收範圍約7.5厘米,但團隊發現接收範圍實際可達2至4米。張克環稱,若不法分子混入超市,即可近距離盜取手機發出的「支付令牌」,用於另一交易。在內地自動售賣機常見的「聲波支付」,張指也有相同保安漏洞,只需截取「支付令牌」,即可盜取用戶金錢。

支付寶香港:實際幾乎不可行

針對不法分子盜取「支付令牌」作另一交易,團隊建議在收款裝置加入額外QR Code作識別,使「支付令牌」直接綁定在該收款裝置,令不法分子無法盜用。團隊稱,已將保安漏洞通知支付寶及三星,並指前者已停用「付款QR Code線上轉帳功能」,後者則指知悉問題。支付寶香港昨晚補充,指有關安全漏洞需用戶「首要被安裝惡意程式」,形容攻擊環境和條件要求極高,在實際生活中「幾乎不具有可行性」。