【明報專訊】手機流動支付發展迅速，但亦衍生安全問題。中文大學工程學院研究發現，流動支付常用的二維碼(QR Code)掃描，以及磁帶讀卡器驗證(MST)技術，存在保安漏洞，讓不法分子有機可乘，令用戶蒙受金錢損失。至於港人常用的Apple Pay和Android Pay，因採用近場通訊(NFC)技術，研究團隊指比較安全。

Apple Pay和Android Pay較安全

研究由中大信息工程學系的「系統保安研究實驗室」進行，帶領團隊的張克環教授指出，用了兩年時間研究不同支付系統的保安漏洞，並於內地測試。他指除NFC技術採用雙向溝通，讓用戶即時知道交易情�G外，QR Code及MST技術皆採用單向式溝通，交易失敗也無法通知用戶，而用作授權付款的「支付令牌」(Payment Token)亦不能收回或取消，令不法分子有機可乘。

單向溝通技術存漏洞

團隊發現，用戶手機被惡意程式入侵後，用戶在使用QR Code付款時，前置鏡頭會啟用，以偷拍反射在掃描器玻璃上的QR Code倒影，再經網絡傳送給不法分子，用於另一交易(見圖)。

此外，被入侵的手機亦可能於付款時，將QR Code其中一角的特徵抹走，令系統視作無效並拒絕交易。不法分子會將QR Code還原，用於另一宗交易圖利。

Samsung Pay接收範圍達4米

至於三星手機專用的流動支付系統MST，官方稱閱讀器與手機的無線交易接收範圍約7.5厘米，但團隊發現接收範圍實際可達2至4米。張克環稱，若不法分子混入超市，即可近距離盜取手機發出的「支付令牌」，用於另一交易。在內地自動售賣機常見的「聲波支付」，張指也有相同保安漏洞，只需截取「支付令牌」，即可盜取用戶金錢。

支付寶香港：實際幾乎不可行

針對不法分子盜取「支付令牌」作另一交易，團隊建議在收款裝置加入額外QR Code作識別，使「支付令牌」直接綁定在該收款裝置，令不法分子無法盜用。團隊稱，已將保安漏洞通知支付寶及三星，並指前者已停用「付款QR Code線上轉帳功能」，後者則指知悉問題。支付寶香港昨晚補充，指有關安全漏洞需用戶「首要被安裝惡意程式」，形容攻擊環境和條件要求極高，在實際生活中「幾乎不具有可行性」。