張克環教授解释流动支付系统保安漏洞。
【香港商報网訊】記者萬家成報道:近年不少港人愛以手機「埋單」,愈趨流行的流動支付方式,其實暗藏危機。香港中文大學信息工程學系昨日公布一項研究結果,發現當中保安漏洞,主要涉及支付寶等利用二維碼(QRcode)付款的程式,以及三星專屬的「SamsungPay」磁帶讀卡器驗證(MST)功能等,不法分子可透過遙距方式入侵進行交易的手機,盜取用戶交易資料,以進行未被授權的交易,由於相關流動支付方式均屬單向溝通,用戶隨時不知不覺間蒙受損失。
用干擾器盜取支付權限代碼
由中大信息工程學系張克環教授領導的系統保安研究實驗室,2年來就各種流動支付系統的安全及防護作研究及分析,率先發現重大保安漏洞,相信有不法分子會利用干擾器,偷取用戶在交易時的支付權限代碼(Token);有關研究成果已於上月在加拿大溫哥華舉行的國際頂級網絡安全學術會議發表,研究團隊并將保安漏洞通知支付寶及三星,支付寶已停用「付款QRCode線上轉帳功能」,僅保留QRCode的離線支付功能,三星則回覆稱已知悉漏洞。
款項被轉移用戶亦不察覺
張克環教授昨於發布會上指出,QRcode屬於單向式溝通的付款方式,當用戶交易時,無法得悉其支付交易是否失敗的結果,其實是不法分子利用干擾器令QRcode失靈,或透過惡意程式感染并控制手機,竊取其QRcode,取而代之成為交易權限者,把款項用於另一項交易;至於另一種同屬單向式溝通的「Sam-sungPay」磁帶讀卡器,當用戶進行交易時,需要將手機移到商戶收銀機附近7.5厘米內進行身份確認,惟經過多番測試,發現實際接收範圍可遠至2米、甚至4米之遠,令不法分子有機可乘。
他舉例指,不法分子會混入超市付款用戶的隊伍中,利用干擾器令用戶連接不到原來系統,然后伺機偷龍轉鳳,將本應找數款項匯入自己帳戶,時間只需1分鐘,由於用戶第一次交易失敗,故第二次才是支付超市款項,變相「雙重付款」蒙受損失。
NFC支付屬雙向式暫無風險
內地常用的自動售賣機聲波支付也具有相同漏洞,當手機用戶端發出聲波,將支付權限代碼傳送給自動售賣機過程中,聲波同樣易於被盜取。至於本港常用的近場通訊(NFC)支付方式,則是采用雙向式的溝通方式,用戶能夠知道交易有誤時的情况,能夠得知交易錯誤,商戶收銀機亦可通知用戶有關情况,故暫時沒有看到任何危險。
倡商戶增指定QRcode認證ID
對於如何解決有關保安漏洞,張克環教授表示,商戶可在收銀系統加裝指定商戶QRcode,加上認證ID,以確保交易只能在該用戶使用,避免被人盜取使用。他建議所有手機用戶,避免胡亂安裝應用程式,特別是免費程式,及不要相信不明來歷的電話和信息,同時亦應盡量避免「手機越獄」(jailbreak)。