■張克環團隊發現3款常見手機支付方式「二維碼掃描」(QR code)、「磁條讀卡器驗證」(MST)和「聲波轉化」均存在漏洞。中大供圖香港文匯報訊(記者 姜嘉軒)手機支付方式日益普遍,惟方便背後卻暗藏保安危機,隨時令用家蒙受損失。中文大學工程學院發現3款常見手機支付方式「二維碼掃描」(QR Code)、「磁條讀卡器驗證」(MST)和「聲波轉化」均存在漏洞,不法分子或可利用惡意裝置盜取「支付令牌」(Payment Token),繼而用於其他交易,使用家不知不覺蒙受損失。而包括現時流行的支付寶及三星流動支付等系統,都有可能中招。
中大信息工程學系助理教授張克環領導的系統保安研究實驗室,過去兩年來積極就各種流動支付系統的安全及防護作研究及分析。
他表示,現時最為業界廣泛使用的四種「支付令牌」傳輸渠道分別為「近場通訊」(Near-field Communication,NFC)、「二維碼掃描」、「磁條讀卡器驗證」和「聲波轉化」,除NFC外其他均屬單向式溝通,「一旦交易失敗,商戶收銀機無法通知手機用戶端,而已經產生的支付令牌亦無法被收回或取消,讓不法分子有機可乘。」
其中,在內地盛行、包括支付寶有利用QR Code交易,研究團隊發現,不法分子可利用一種惡意裝備遠程從收銀機屏幕上嗅探(sniff)得付款人的「支付令牌」,將之用於另一項交易。
張舉例解釋,如不法分子可透過惡意程式入侵手機並控制前置鏡頭,當用戶使用QR Code交易,鏡頭會把掃描器所顯示的QR Code倒影攝下來,傳至不法分子手中,最後用於其他交易。
MST接收遠至兩米易截資料
至於專屬於三星流動支付系統的「磁條讀卡器驗證」功能(MST),張克環指一般而言用戶在進行交易時,需要將手機移到商戶收銀機附近7.5厘米內進行身份確認,但經團隊測試,發現實際接收範圍可遠至兩米。「如不法分子混入超市付款者的隊伍中,即可伺機發起攻擊,竊取並盜用支付令牌」,例如能利用信息干擾器終止交易,繼而「出手」截取資料。
「聲波轉化」支付方式則較常見於自動售賣機,當手機用戶端發出聲波,將「支付令牌」傳送給自動售賣機的過程中,聲波同樣易於被盜取,令用戶招致損失。
中大團隊已向包括支付寶與三星等相關公司反映結果,以修補交易漏洞。
張克環表示,目前本港較常用NFC手機支付程式,至今仍未見有存在安全漏洞。
但他提醒市民應避免下載來歷不明的手機應用程式,亦避免「手機越獄」(jailbreak),減低遭受攻擊的風險。