近年來手機支付讓購物更加便利,但是新興的支付模式也帶來更多安全隱患。中文大學信息工程學系教授張克環的研究團隊發現,支付寶及Samsung Pay均存有保安漏洞,用家或在不為意的情況下「被交易」,招致損失。研究團隊已通知相關支付平台採取措施。

張克環表示,現時業界常用的四種支付令牌傳輸渠道中,除近場通訊(NFC)外,二維碼(QR Code)掃描、磁條讀卡器驗證(MST)和聲波轉化,都屬於單向式溝通,用戶交易失敗時,商戶收銀機無法通知手機用戶端,產生的支付令牌(Payment Token)亦無法被收回或取消,讓不法份子有機可乘。

支付寶等採用的QR Code掃描是大陸流行的流動支付系統。研究發現,不法份子可使用惡意遠程裝置從收銀機屏幕上嗅探(sniff)得付款人的支付令牌,用於另一項交易。但用戶無法收到交易失敗的信號,從而在不知不覺間蒙受損失。研究團隊發現此漏洞後,支付寶關閉了「付款QR Code 線上轉賬功能」,僅保留QR Code的離線支付功能。

QR Code倒影可被盜用

張克環提醒,除了支付平台要推出更嚴密的驗證方式,手機用戶亦要時刻警覺,避免下載來歷不明的手機應用程式。一些惡意程式可以在用戶採用QR Code付款時,控制前置鏡頭拍攝反射在掃描器玻璃面上的QR Code倒影,再經網絡傳送至不法份子,從而盜用賬戶消費。惡意軟件還可能在用戶之間轉賬時生成多個QR Code,利用多生成的QR Code盜取付賬用戶的金錢。

至於專屬於三星流動支付系統的MST功能,研究團隊多番測試,發現手機與商家收銀機實際接收範圍可遠至兩米。如不法份子混入超市付款者的隊伍中,即可伺機發起攻擊,竊取並盜用支付令牌。常用於自動售賣機的聲波支付也有相同漏洞。 

張克環表示,相關的流動支付平台已經就研究團隊發現的漏洞採取措施補救,但不排除有尚未發現的漏洞。他又指,除了保安漏洞之外,電子支付亦可能帶來私隱問題,因為支付系統的後台服務器會存有用戶每一次消費的紀錄,提醒用家需要在便利和風險之間尋找平衡。◇