中大發現QR Code支付系統有漏洞 或會被盜用款項
發佈日期: 2017-09-28 23:31
港澳
中文大學研究發現有流動支付系統,包括「二維碼」,即「QR Code」有保安漏洞。不法分子可以透過程式,中斷用戶原本的交易,盜用款項。
網上交易、一些街上店舖,以至報紙檔都接受「QR Code」付款。流動支付系統越來越普遍,但可能隨時成為歹徒的目標。
中大信息工程學系研究支付寶的「QR Code」系統,發現不法分子可以透過惡意程式,控制手機前置鏡頭,當用戶以「QR Code」付款時,程式會拍下反射在掃瞄器,玻璃上的倒影並盜取。
又或者「做手腳」,把部分圖像刪走,商戶接收不到令交易無法進行,不法分子就用完整「QR Code」的原本價值買其他東西。
研究也發現,三星的Samsung Pay有漏洞,三星指讀卡器可認證的距離是7.5厘米,但研究團隊測試發現,遠至兩米都接收得到訊號。而這類支付系統屬單向式溝通,如果交易失敗,商戶無法通知手機用戶,亦不能取消交易。
中大信息工程學系教授張克環指:「不光是金錢的問題,其實有時候也會涉及到私隱,譬如說電子支付,事實上後台服務器,會擁有你所有的消費記錄,每一筆消費記錄,知道你的喜好,知道你的消費習慣。」
研究團隊建議商戶用流動支付系統時,一定要多重認證,亦呼籲市民不要破解手機或者下載可疑的程式。
