中大揭流动支付系统现保安漏洞　QR Code、三星MST也中招

手机流动支付系统日趋普及，但当中的保安漏动亦惹人关注。中大发现QR Code、三星电话专用的MST现保安漏洞，不法份子可借此复制及盗取作交易身分认证的“支付令牌”(Payment Token)，令消费者蒙受金钱损失。研究团队已将漏洞知会相关的第三方平台，对方承诺改善。
 Samsung Pay表示，关注最近相关的报道，并正了解事件，又表示相信成功窃取支付代码的可能性极低。

香港中文大学信息工程学系教授张克环的研究团队发现，常用的四种流动支付渠道中，除了本港最常用的近场通讯（NFC）外，其余三种支付渠道，即二维码（QR Code)、扫描、磁条读卡器验证（MST)和声波转化都有保安漏洞。

以内地支付宝常用的QR Code为例，不法份子可利用恶意程式入侵手机，再控制手机前置镜头。当用户使用QR Code交易时，手机前置镜头可反射拍摄扫瞄器所显示的QR Code倒影，可经网络传送到不法份子手上，再使用该QR Code交易。

除了上述方法，不法份子亦可入侵用家手机，自动弹出提示询问用家是否更新QR Code，不论选择如果，QR Code都会遭自动更新，而旧有的QR Code在不知不觉间已被盗取。

另一种专属三星流动支付系统的MST，交易时需将手机移到商户收银机7.5厘米范围内确认身份。不过，研究团队发现，交易波频的实际距离可远至两米。当不法分子混入实体交易队伍时，由于与付款者距离较近，可透过程式发动攻击，窃取及盗用支付令牌。

Apple Pay、Android Pay未现漏洞
张克环解释，支付令牌用作身分认证，可确认手机用户所发出的付款指示与商户收银机所显示的交易是否吻合，而每宗交易都有独特的付款令牌。但上述支付系统均采用单向式沟通，即交易失败时无法透过手机通知付款者，交易用的支付令牌亦不会自动取消，令不法份子有机会盗用。至于本港交易常用的NFC，如Apple Pay和Android Pay则属双向式沟通，暂未发现保安漏洞。

支付宝已复修系统　三星承诺改善

研究团队已将研究向相关第三方支付平台报告，其中支付宝已复修系统；三星则承诺改善。张克环指，如消费者未有检查交易纪录，根本不会知道交易令牌遭盗用，交易金额亦无上限。他建议，手机用户避免下载来历不明的应用程式，以免遭不法份子攻击。

Samsung Pay表示，支付系统经过严格的测试，关注到最近相关的报道，正了解事件，相信成功窃取支付代码的可能性极低。

方保侨：“支付令牌”只在即时产生　除非即时盗用
香港资讯科技商会荣誉会长方保侨认为，有关研究不贴合现实生活，形容是“小题大造”。他解释，大部分电子付款的二维码以及作交易身分认证的“支付令牌”(Payment Token)，都只限一次性使用，“Token是在交易当刻即时产生，除非盗取者在你准备付款时盗取，并且推开你抢先用手机付款，否则根本难达到目的。”

电子交易“推送”显示可作提醒
他又指在现实生活中，即使是手机在近距离进行交易扫描，亦不时要“扫两三次”才扫描到，研究中称能远在数米扫描到，是不符合现实。他又指大部分手机电子交易在事后都会发送“推送”显示，部分银行更会发送短讯确认，认为研究可以作为一种提醒，但难以说明情况会构成日常危机。