最新消息
  • 22°C
香港時間:2017年11月22日 星期三 17:08

流動支付存漏洞 Samsung Pay、支付寶用家或「被交易」

13:58 2017/09/28

(經濟日報記者攝)

(經濟日報記者攝)

近年無現金支付漸見普及,惟研究發現Samsung Pay、支付寶均存有保安漏洞,用家或在不為意的情況下「被交易」。

在支付過程中,最廣泛應用的支付代碼為二維碼(QR Code)、磁條讀卡器驗證(MST)、聲波轉化,以及八達通亦有使用的NFC(近場通訊)。

中大信息工程學系張克環指出,QR code、MST及聲波轉化皆屬單向式溝通,一旦交易失敗,商戶無法通知買家,但過程中產生的支付代碼無法收回或取消而成漏洞,令不法分子有機可乘。

以QR Code 為例,用戶須向商戶展示其QR code,並讓對方「嘟」來完成交易。研究團隊發現,黑客可利用惡意程式,入侵手機前置鏡頭,拍攝收銀機屏幕反射出來用戶手機上的QR Code,再立即用之進行交易,令用戶帳戶不知不覺「被交易」。現時支付寶亦是利用QR code進行支付。

至於專屬Samsung Pay的MST,服務聲稱交易時,手機須移至收銀機色附近7.5厘米進行身分確認,惟團隊多番測試,發現實際接收範圍可遠至2至4米。

張克環表示,已就研究結果,告知相關服務商,其中支付寶已修正有關服務。他建議,用家勿下載來歷不明的程式、破解或越獄(jail break)手機。他指出,本港常用的NFC相對安全,故沒有進行測試。

想生活更精明,請讚好TOPick Facebook

焦點

A股脈搏 - 軍工撐滬指收漲0.59% 後市要睇金融監管

2017/11/22 15:39

軍工撐滬指收漲0.59% 後市要睇金融監管

極速燒錢 - Tesla每分鐘燒8000美元 明年中恐「乾塘」

2017/11/22 15:05

Tesla每分鐘燒8000美元 明年中恐「乾塘」

半新股退潮 - 易鑫曾跌一成 收市倒升逾3%(第三版)

2017/11/22 16:17

易鑫曾跌一成 收市倒升逾3%(第三版)

神州熱話 - 洪湖蟹草酸「洗澡漂白」 變身陽澄湖大閘蟹

2017/11/22 13:08

洪湖蟹草酸「洗澡漂白」 變身陽澄湖大閘蟹

社會快訊 - 金融業自動化 中後台招聘將減

2017/11/22 07:00

金融業自動化 中後台招聘將減

神州熱話 - 中外團隊完成「換頭」? 華醫:僅外科模型

2017/11/21

中外團隊完成「換頭」? 華醫:僅外科模型

中日趨暖 李克強晤日經貿訪華團

2017/11/22 01:00

中日趨暖 李克強晤日經貿訪華團

A股脈搏 - 滬指半日漲0.50% 銀行股繼續發力

2017/11/22 12:12

滬指半日漲0.50% 銀行股繼續發力