【電子支付陷阱】中大指支付寶有漏洞 方保僑:有危險但難操作
1 :
GS(14)@2017-10-09 00:02:34實試Samsung Pay的MST功能,並不如報告所言接收有2至4米距離。
中大工程學院最近有報告指出,用二維碼QR code的支付寶和用磁條讀卡器驗證技術的Samsung Pay都有安全漏洞。我們找來香港資訊科技商會榮譽會長方保僑探討一下這些支付方法的安全程度。方保僑指出相關報告有其理據,但相信實際應用時盜用等情況會極難發生,「好像Samsung Pay用的磁條讀卡器驗證MST技術,報告說2至4米都能盜取得到資料,不法之徒可以在用戶購物前盜取代碼交易,但我們實際試過,一般讀卡器要在極近距離下才能讀取成功,或者要有專業級器材在實驗室的受控環境(controlled environment)才能做到調查所說的效果。」
無論是支付寶用的QR Code二維碼或是Samsung Pay的MST技術,也是靠商戶讀取支付代碼(token)完成交易,中大調查報告指不法之徒或者能在交易途中用木馬程式盜取token,尤其是QR Code用圖像作為token,不論是木馬程式或者鏡頭也能截取。Samsung Pay則除了用NFC技術,還對應磁條讀卡器驗證MST技術,能用在信用卡的磁條讀卡器上,使用MST時,系統也會生成token,而報告指MST技術能在2至4米外讀取,也有被不法之徒盜用的可能。
支付寶的的QR Code支付代碼(token),報告指有可能被盜用,但每次交易都會改動,盜用難度甚高。
香港資訊科技商會榮譽會長方保僑。
方保僑認為報告在理論上成立,Apple Pay等用NFC技術的支付方式,用戶和商戶間能雙向通訊,沒有token被盜取的問題。不過token的用法在銀行賬戶管理或者其他保安服務上也被廣為應用,每次使用時token也會自動生成,交易完成後過往的token已經失效,因此不法之徒要在token生成至到交易完成前完成盜取和盜用,實際試過其實用Samsung Pay開啟到拍卡完成交易也不過數秒,要在如此短時間內做到盜用難度極高。不過方保僑亦提醒用家不要安裝來歷不明的app,不要為Android手機解除安全鎖(俗稱 Root機),開啟Android Play Protect(Android7.0以上)或加裝手機保安軟件,以防木馬程式或病毒入侵。記者:司徒港燊攝影:許先煜
來源:
http://hk.apple.nextmedia.com/su ... t/20171006/20173756