明報新聞網海外版-明報加西版(溫哥華) - Ming Pao Canada Vancouver Chinese Newspaper
[ 前往新版面 ]
 
 
圖片
放大
 
放大
 

其他新聞
陳章萍追興德34萬 案件無限期押後
節目談棟篤笑如廣告 港台收強烈勸喻
跨部門天水圍執法 17 Gobee.bike違泊被充公
話你知:物品佔政府地 先警告後移走
居民歡迎執法 不滿缺單車泊位
[顯示全部題目]

[昔日明報]

 
港聞
 黑客侵手機 開鏡頭偷拍傳送 中大揭支付QR Code可被偷

【明報專訊】手機流動支付發展迅速,但亦衍生安全問題。中文大學工程學院研究發現,流動支付常用的二維碼(QR Code)掃描,以及磁帶讀卡器驗證(MST)技術,存在保安漏洞,讓不法分子有機可乘,令用戶蒙受金錢損失。至於港人常用的Apple Pay和Android Pay,因採用近場通訊(NFC)技術,研究團隊指比較安全。

Apple Pay和Android Pay較安全

研究由中大信息工程學系的「系統保安研究實驗室」進行,帶領團隊的張克環教授指出,用了兩年時間研究不同支付系統的保安漏洞,並於內地測試。他指除NFC技術採用雙向溝通,讓用戶即時知道交易情G外,QR Code及MST技術皆採用單向式溝通,交易失敗也無法通知用戶,而用作授權付款的「支付令牌」(Payment Token)亦不能收回或取消,令不法分子有機可乘。

單向溝通技術存漏洞

團隊發現,用戶手機被惡意程式入侵後,用戶在使用QR Code付款時,前置鏡頭會啟用,以偷拍反射在掃描器玻璃上的QR Code倒影,再經網絡傳送給不法分子,用於另一交易(見圖)。

此外,被入侵的手機亦可能於付款時,將QR Code其中一角的特徵抹走,令系統視作無效並拒絕交易。不法分子會將QR Code還原,用於另一宗交易圖利。

Samsung Pay接收範圍達4米

至於三星手機專用的流動支付系統MST,官方稱閱讀器與手機的無線交易接收範圍約7.5厘米,但團隊發現接收範圍實際可達2至4米。張克環稱,若不法分子混入超市,即可近距離盜取手機發出的「支付令牌」,用於另一交易。在內地自動售賣機常見的「聲波支付」,張指也有相同保安漏洞,只需截取「支付令牌」,即可盜取用戶金錢。

支付寶香港:實際幾乎不可行

針對不法分子盜取「支付令牌」作另一交易,團隊建議在收款裝置加入額外QR Code作識別,使「支付令牌」直接綁定在該收款裝置,令不法分子無法盜用。團隊稱,已將保安漏洞通知支付寶及三星,並指前者已停用「付款QR Code線上轉帳功能」,後者則指知悉問題。支付寶香港昨晚補充,指有關安全漏洞需用戶「首要被安裝惡意程式」,形容攻擊環境和條件要求極高,在實際生活中「幾乎不具有可行性」。

 
 
今日相關新聞
黑客侵手機 開鏡頭偷拍傳送 中大揭支付QR Code可被偷
[顯示全部題目]



引用明報

引用明報(加拿大)內容收費準則:(包括:報章,各類附刊,數碼及任何名下之內容)

文字:每100字(含標點符號) 30元
特別內容如獨家新聞,名家約稿等另按情況收費

圖片:每張50元
獨家,合成圖片,圖樣設計另議。

凡未於收費表列明之項目而屬明報(加拿大)內容者,引用者請先行查詢收費。

舉報剽竊內容獎勵辦法:

凡舉報可能剽竊明報(加拿大)內容者,若有關舉報能成功令明報(加拿大)追討有關費用,在扣除追討費用後,舉報者可獲有關金額的15%作為酬勞。

 
廣告 advertisement
 
 
廣告 advertisement
 
 
 
 
 
主頁 ,  聘請 , 招租 ,
商業招租  ,  出讓  ,  補習  , 
招生  ,  各類服務  ,  其他