電子支付來講,香港算唔算落後?
要靜去自修室啦屌
335 回覆
42 Like
1487 Dislike
松屋唔收信用卡?連Suica都唔收?幾時嘅事?
吓,我2023 10月去大阪食咗2間松屋都收信用卡喎,我用paywave畀嘅
現存的雙標卡,到期換卡時都會換兩張單標,一張銀聯加一張其他通道
on9仔先至咁做 
蝕哂啲回贈
蝕哂啲回贈
加埋AI步態辨識,第時去超級市場直接拎住啲貨行出去都認到人直接畀咗錢,刷臉掃掌都唔使 
個 QR Code 幾多秒轉一次,都改變唔到 QR code 本身無加密嘅缺陷,有可能被破解、仿冒、干擾
不過主要問題在於 Alipay, WeChat Pay 嘅 payment QR Code 資料傳遞過程屬「單向傳遞」。當交易出現異常,收款裝置係無法回傳訊息,已經發生嘅資料傳遞無法逆轉,騙徒可以利用呢個漏洞竄改交易,例如用「中間人攻擊」導致用戶支付到錯誤嘅賬戶,「支付密碼」避免唔到呢類型攻擊
手機 NFC 支付 (e.g Apple/Google Pay) 屬雙向傳遞,收款裝置會喺加密協議下建立paymentintent id ,驗證無問題回傳 error:null 到支付裝置,確保傳輸過程無被竊取或竄改
不過主要問題在於 Alipay, WeChat Pay 嘅 payment QR Code 資料傳遞過程屬「單向傳遞」。當交易出現異常,收款裝置係無法回傳訊息,已經發生嘅資料傳遞無法逆轉,騙徒可以利用呢個漏洞竄改交易,例如用「中間人攻擊」導致用戶支付到錯誤嘅賬戶,「支付密碼」避免唔到呢類型攻擊
手機 NFC 支付 (e.g Apple/Google Pay) 屬雙向傳遞,收款裝置會喺加密協議下建立paymentintent id ,驗證無問題回傳 error:null 到支付裝置,確保傳輸過程無被竊取或竄改
pay咩wave啫,人地一直講緊實體卡都唔係安全, GAS pay先係比較安全
好明顯張圖係針對大陸
QR Code係「影像」形式呈現嘅data,物理上「影像」不具備接收data能力。如要判斷QR Code屬「單向傳遞」係錯,首先你要論證被掃瞄嘅QR Code能突破物理限制接收非第三方服務器實時回傳。如果你成功論證,你會係下一個馬雲
網絡攻擊唔係想像中咁易避免,如果用戶設定嘅係屏幕數字密碼嗰隻支付密碼,安全性係一般。對黑客而言,係低門檻攻擊對象。簡單一個釣魚工具已可實現中間人攻擊遙距植入惡意程式讀取/截取支付密碼及OTP
問題癥結在 QR Code payment 無法實時 device-to-device 回傳 events/logs,兩者間無 hook。收款裝置依賴integrator向支付供應商發出請求,再由支付供應商回傳integrator,回傳要經過第三方服務器去支戶端裝置。所以無法完全確保中間數據無被竄改,當中嘅數據請求可以偽造/clone
至於 Apple/Google Pay 嗰種 NFC payment 最大分別係支付裝置、收款裝置兩者之間device-to-device實時互傳,中間以256-bit密碼編譯加密機制做為雜湊函式核實device-to-device金鑰,任何一邊有錯都無法交易,竄改、偽造、clone嘅難度極高
網絡攻擊唔係想像中咁易避免,如果用戶設定嘅係屏幕數字密碼嗰隻支付密碼,安全性係一般。對黑客而言,係低門檻攻擊對象。簡單一個釣魚工具已可實現中間人攻擊遙距植入惡意程式讀取/截取支付密碼及OTP
問題癥結在 QR Code payment 無法實時 device-to-device 回傳 events/logs,兩者間無 hook。收款裝置依賴integrator向支付供應商發出請求,再由支付供應商回傳integrator,回傳要經過第三方服務器去支戶端裝置。所以無法完全確保中間數據無被竄改,當中嘅數據請求可以偽造/clone
至於 Apple/Google Pay 嗰種 NFC payment 最大分別係支付裝置、收款裝置兩者之間device-to-device實時互傳,中間以256-bit密碼編譯加密機制做為雜湊函式核實device-to-device金鑰,任何一邊有錯都無法交易,竄改、偽造、clone嘅難度極高
台灣用Line pay
日本用pay pay
日本用pay pay
呢幾個月支付工具/銀行app已經陸續block咗cap圖/recording
普通釣魚app已經冇能力read到screen嘅內容
除非真係hack系統漏洞
普通釣魚app已經冇能力read到screen嘅內容
除非真係hack系統漏洞
我一開始已批評實體信用卡安全性低,呢點我無異議,唔需要多次重複引用我觀點
即使八達通,都能夠實現half-duplex雙向傳遞,卡片跟讀卡機端對端金鑰進行相互驗證先能夠建立資料通訊。1997年推出嘅八達通,採用嘅安全標準已經比而家嘅QR Code payment高
無論offline/online,QR Code payment都係做唔到類似八達通嘅端對端金鑰相互驗證,你spin去offline/online混淆視聽係掩飾唔到客觀先天缺陷。呢個係device-to-device或app/card-to-ECR層面嘅事,即係成個交易流程首個程序
Alipay 支付過程粗略為:
1. Marchant > scan User's QR
2. Marchant > Paymentintent > Alipay
3. Alipay > Request Order > Integrator
4. Integrator > Return Order > Alipay
5. Integrator > Payment Result > User
6. Alipay > Return Result > Marchant
實際上應該複雜好多,要你呢啲有用開用戶先會知。我唔知你意思係唔係指online交易就可以透過Integrator回傳驗證可用解決漏洞,係嘅話你可以提供論證。但我論點嘅關鍵係step 1如果被竊取或偽造,Marchant唔會實時直接回傳去User,實際上要經Integrator先可能實現回傳,但現實上step 1已經發生咗
假如係八達通拍卡 (offline),step 1 已經驗證雙方金鑰,有錯嘅話跟本唔會觸發交易
即使八達通,都能夠實現half-duplex雙向傳遞,卡片跟讀卡機端對端金鑰進行相互驗證先能夠建立資料通訊。1997年推出嘅八達通,採用嘅安全標準已經比而家嘅QR Code payment高
無論offline/online,QR Code payment都係做唔到類似八達通嘅端對端金鑰相互驗證,你spin去offline/online混淆視聽係掩飾唔到客觀先天缺陷。呢個係device-to-device或app/card-to-ECR層面嘅事,即係成個交易流程首個程序
Alipay 支付過程粗略為:
1. Marchant > scan User's QR
2. Marchant > Paymentintent > Alipay
3. Alipay > Request Order > Integrator
4. Integrator > Return Order > Alipay
5. Integrator > Payment Result > User
6. Alipay > Return Result > Marchant
實際上應該複雜好多,要你呢啲有用開用戶先會知。我唔知你意思係唔係指online交易就可以透過Integrator回傳驗證可用解決漏洞,係嘅話你可以提供論證。但我論點嘅關鍵係step 1如果被竊取或偽造,Marchant唔會實時直接回傳去User,實際上要經Integrator先可能實現回傳,但現實上step 1已經發生咗
假如係八達通拍卡 (offline),step 1 已經驗證雙方金鑰,有錯嘅話跟本唔會觸發交易
呢類可以減少用戶風險嘅措施幾合理,尤其係對啲唔熟手機操作嘅長者,佢地未必有資訊安全意識
正確
