電子錢包愈見普及,有大學研究卻發現流動支付系統出現保安漏洞,不法分子可以盜取交易過程中用作身份認證的「支付令牌」(Payment Token),消費者可以在不知情下「被交易」。研究團隊已將漏洞通報支付寶及三星,部分已作出補救措施。
現時的流動支付服務中,業界最常見的身份驗證代碼包括二維碼(QR Code)掃描、三星手機獨有的磁帶讀卡器驗證(MST)、聲波轉化,以及近場通訊(NFC),即八達通、visa paywave、MasterCard PayPass和Apple Pay使用技術。
中大信息工程學系教授張克環(圖)的團隊,耗時兩年測試QR Code及三星手機獨有的MST功能。以內地常用QR Code的支付方法為例,研究發現,不法分子可透過惡意程式干擾手機,控制前置鏡頭,拍攝及經過網絡接收掃描器所顯示的QR Code倒影,再利用該QR Code的「支付令牌」交易。另外,他們亦可盜取用戶支付的QR Code,並作出修改令系統發出不能交易的信息,但其實將QR Code複製並修復,用於另一項交易。例如支付寶就是用此方式作交易。
至於MST的技術,官方宣稱手機須移至刷卡機約7.5厘米距離才能認證身份,但團隊卻發現可遠在2至4米外截獲訊號,意味不法分子可趁消費者排隊付款時,接收和盜取消費者的「支付令牌」。目前Samsung Pay使用MST作其中一種認證交易方式。
張克環表示,每宗交易都有獨特的付款令牌,NFC採取雙向式溝通,相信較安全,故沒有測試,而其他3項皆屬單向式溝通,只要黑客干擾刷卡機致無法連接網絡,同時盜取消費者的「支付令牌」,黑客可趁「支付令牌」失效前執行其他支付指令,消費者隨時蒙受比原本貨物價值更大的損失。
研究團隊上月於加拿大溫哥華舉行的國際頂級網絡安全學術會議發表結果,並告知相關服務商,支付寶已停用「付款QR Code線上轉帳功能」,三星則回覆團隊指知悉問題。張克環建議,用家勿下載來歷不明的手機程式、破解或「越獄」(jail break)手機。