Samsung Pay、支付寶存漏洞
作者: :
流動電子付款應用日趨普及,中大研究發現多種流動支付系統中,Samsung的磁帶讀卡器驗證(MST)及內地「支付寶」常用的二維碼(QR Code)潛在較高的安全風險。
付款代碼或外洩
中大信息工程學系教授張克環與其團隊,用兩年時間研究各流動支付系統的安全,現時業界現廣泛使用的4種支付渠道為NFC(近場通訊)、QR Code、MST和聲波轉化。Samsung Pay(圖)採MST功能,經測試後發現實際傳輸範圍高達2米,「後面的人可用干擾器影響交易,從而取得TOKEN(付款代碼)」。而支付寶付款需用手機鏡頭掃描QR Code,不法分子可用黑客程式入侵手機前置鏡頭,從而偷拍掃描器內反射QR Code的倒影。而本港常用的NFC則不在是次研究範圍,「NFC相對QR Code安全性高」。
支付寶指,TOKEN屬一次性,並在極短時間內失效;而研究所指出的安全漏洞,需要用戶設備中被安裝惡意應用程式,且其攻擊環境和條件要求都極高,難以實行。Samsung則指關注事件,但相信竊取TOKEN的可能性極低。