澳门威尼斯人赌场官网

支付宝Samsung Pay有保安漏洞

不法之徒可透过QR Code盗取支付权限 用家易招损失

人气 105

【大澳门威尼斯人赌场官网2017年09月29日讯】(大澳门威尼斯人赌场官网记者张晓慧香港报导)近年来手机支付让购物更加便利,但是新兴的支付模式也带来更多安全隐患。中文大学信息工程学系教授张克环的研究团队发现,支付宝及Samsung Pay均存有保安漏洞,用家或在不为意的情况下“被交易”,招致损失。研究团队已通知相关支付平台采取措施。

张克环表示,现时业界常用的四种支付令牌传输渠道中,除近场通讯(NFC)外,二维码(QR Code)扫描、磁条读卡器验证(MST)和声波转化,都属于单向式沟通,用户交易失败时,商户收银机无法通知手机用户端,产生的支付令牌(Payment Token)亦无法被收回或取消,让不法份子有机可乘。支付宝等采用的QR Code扫描是大陆流行的流动支付系统。研究发现,不法份子可使用恶意远程装置从收银机屏幕上嗅探(sniff)得付款人的支付令牌,用于另一项交易。但用户无法收到交易失败的信号,从而在不知不觉间蒙受损失。研究团队发现此漏洞后,支付宝关闭了“付款QR Code 线上转账功能”,仅保留QR Code的离线支付功能。

QR Code倒影可被盗用

张克环提醒,除了支付平台要推出更严密的验证方式,手机用户亦要时刻警觉,避免下载来历不明的手机应用程式。一些恶意程式可以在用户采用QR Code付款时,控制前置镜头拍摄反射在扫描器玻璃面上的QR Code倒影,再经网络传送至不法份子,从而盗用账户消费。恶意软件还可能在用户之间转账时生成多个QR Code,利用多生成的QR Code盗取付账用户的金钱。

至于专属于三星流动支付系统的MST功能,研究团队多番测试,发现手机与商家收银机实际接收范围可远至两米。如不法份子混入超市付款者的队伍中,即可伺机发起攻击,窃取并盗用支付令牌。常用于自动售卖机的声波支付也有相同漏洞。

张克环表示,相关的流动支付平台已经就研究团队发现的漏洞采取措施补救,但不排除有尚未发现的漏洞。他又指,除了保安漏洞之外,电子支付亦可能带来私隐问题,因为支付系统的后台服务器会存有用户每一次消费的纪录,提醒用家需要在便利和风险之间寻找平衡。◇

责任编辑:昌英

相关新闻
否认机上有危险品 马航CEO:载三四吨山竹
大众汽车造假丑闻 “专属软件”惹的祸
Android手机股票程式近半存保安风险
拒收现金争议 大陆无现金支付平台或被严管
如果您有新闻线索或资料给大澳门威尼斯人赌场官网,请进入。
评论