資訊保安

中大報告指電子支付系統存保安漏洞 「支付寶」問題最嚴重

Published by
Lawton

中文大學信息工程學系教授張克環的研究團隊,對現今流動支付的相關技術,作出研究報告,指出部份流動支付方式背後存有保安漏洞,不法分子能夠利用來盜取用戶金錢。研究發現 Apple Pay 與 Android Pay 等以 NFC 技術為核心的交易方式較為安全,而使用二維 QR Code 作為付款方式的支付寶,存有保安漏洞,有機會被不法份子有機可乘。

根據報告指出,在眾多電子付款技術之中,以 NFC 技術為基本的 Apple Pay 與 Android Pay 並未有發現保安問題,在保障用戶資料方面最為周全。但另一方面就發現「支付寶」存有保安漏洞,用戶容易被不法份子取得付款資料,造成金錢上的損失。中大研究報告發現以「支付寶」問題較嚴重,該系統以 QR Code 作為收費認證,用戶需要把 QR 條碼傳遞給店員掃瞄。不法份子可侵入用戶手機,控制手機前置鏡頭,在店員掃瞄時,拍下掃瞄器倒影下的 QR 條碼,再傳到不法分子手上。張克環解釋,倒影被拍下之後,可修復並複製成與原本一樣的條碼。不法分子可利用此條碼在另一地方即時作收款用途。

▲左圖為用戶原有的支付寶畫面,但駭客可在畫面加手腳(右圖 QR 條碼右上角的空白位置),令商家掃瞄器不能正常掃瞄,買家不能正常付款,但條碼就送到駭客手上作不法用途

由於資料傳送只是單向溝通,用戶無法識別交易提否成功,出現問題時,用戶只會被通知再傳送多一次,其實可能是不法分子利用干擾器令 QR 條碼失靈,同時間不法分子可在背後利用該條碼取代了商家獲得用戶的款項。另外不法份子亦可在智能電話暗中安裝誘導程式,彈出提示問用戶是否更新 QR 條碼,但無論如何都會自動更新,而舊條碼則會送到不法分子手中。中大研究團隊已將報告交給支付寶,而支付寶聲稱已修復有關系統。報告建議手機用戶不要安裝不明來歷的程式,以免遭不法分子攻擊。

資料來源:綜合報道

Published by
Lawton