流動支付存漏洞　Samsung Pay、支付寶用家或「被交易」

近年無現金支付漸見普及，惟研究發現Samsung Pay、支付寶均存有保安漏洞，用家或在不為意的情況下「被交易」。

在支付過程中，最廣泛應用的支付代碼為二維碼（QR Code）、磁條讀卡器驗證（MST）、聲波轉化，以及八達通亦有使用的NFC（近場通訊）。

中大信息工程學系張克環指出，QR code、MST及聲波轉化皆屬單向式溝通，一旦交易失敗，商戶無法通知買家，但過程中產生的支付代碼無法收回或取消而成漏洞，令不法分子有機可乘。

以QR Code 為例，用戶須向商戶展示其QR code，並讓對方「嘟」來完成交易。研究團隊發現，黑客可利用惡意程式，入侵手機前置鏡頭，拍攝收銀機屏幕反射出來用戶手機上的QR Code，再立即用之進行交易，令用戶帳戶不知不覺「被交易」。現時支付寶亦是利用QR code進行支付。

至於專屬Samsung Pay的MST，服務聲稱交易時，手機須移至收銀機色附近7.5厘米進行身分確認，惟團隊多番測試，發現實際接收範圍可遠至2至4米。

張克環表示，已就研究結果，告知相關服務商，其中支付寶已修正有關服務。他建議，用家勿下載來歷不明的程式、破解或越獄（jail break）手機。他指出，本港常用的NFC相對安全，故沒有進行測試。