中大真專家:Apple Pay + Android Pay 安全!支付寶保安漏洞最多!

Keith Yim 2017-09-28 18:15 | 科技新知
真專家出動!唔再只係單一人物對咪狅讚某品牌!今日香港中文大學信息工程學系教授張克環的研究團隊發表了手機流動付款 Mobile Payment 嘅研究,佢地發現,以 NFC 為技術重心嘅 Apple Pay 與 Android Pay 在個人資料保安上,最為安全,而採用自家 MST  技術嘅 Samsung Pay,與 QR Code 為主嘅支付寶 Alipay,都有保安漏洞,大家用手機付款 Mobile Payment 時,要小心小心呀!

fb-samsung.jpg

今日 28/9 香港中文大學信息工程學系教授張克環的研究團隊發表了對手機付款技術資料保安的報告,常用流動支付渠道中,以 Apple Pay / Android Pay (NFC 技術) 未發現有保安漏洞,但以 QR Code 二維碼為基楚的「支付寶」與 Samsung Pay 其中一款技術磁條讀卡器驗證(MST) 都有保安漏洞,用家隨時因此失財,用家要小心。

張克環的研究團隊發現中國大陸最流行「支付寶」,會以 QR Code 作收費認證,不法份子可利用惡意程式入侵手機,再控制手機前置鏡頭。當用家使用 QR Code 交易時,手機前置鏡頭可反射拍攝掃瞄器所顯示的 QR Code倒影。資料可經網絡傳送到不法份子手上,再使用該 QR Code 交易。除了上述方法,不法份子亦可入侵用家手機,自動彈出提示詢問用家是否更新 QR Code,不論選擇如果,QR Code都會遭自動更新,而舊有的QR Code在不知不覺間已被盜取。

Samsung Pay 有危機

近期在香港大力推銷的 Samsung Pay 三星流動支付,其中以可採用普通的碌卡機為賣點,只要手機移到商戶碌卡機 7.5cm 範圍內確認身份,透過三星的 MST 系統,唔駛碌卡都可以用手機付費。不過,研究團隊發現,交易波頻的實際距離可遠至兩米。當不法分子混入實體交易隊伍時,由於與付款者距離較近,可透過程式發動攻擊,竊取及盜用支付令牌 (payment token),盜取用家交易資料。

研究團隊未發現 Apple Pay 與 Android Pay 有保安漏洞,佢地亦叫大家唔好將手機 Jailbreak、Root 機並唔好亂咁下載不知明 App,以策安全。

大家採用支付寶與 Samsung Pay 時,就要更加小心了。

資料來源: RTHK、互聯網
 

最新新聞