中大研究指 QR Code 及 Samsung Pay 皆不安全
電子支付服務開始起跑的香港 , 市面上有各種支付方式 , 包括 Apple Pay、Android Pay、支付寶HK及 Samsung Pay . 在大家使用電子支付享受方便的同時 , 大家隨之擔心的就是安全問題 . 而今日 , 中大信息工程學系「系統保安研究實驗室」研究發現 , 電子支付中 QR Code(二維碼) 及 MST(磁帶讀卡器驗證) 這兩個支付方式存在安全漏洞 .
工程學系教授張克環就表示 , 黑客可以通過惡意程式控制手機及前置鏡頭 , 可以暗中打開前置鏡頭通過讀取 QR Code 付款倒影 , 在你未付款前已經提早取得金錢並提走。而另一個情況就是不法分子直接盜取用戶的屏幕上的 QR Code , 然後修改系統顯示不能交易 , 但實際已經取得交易金額 , 用戶可能會不知不覺就已經損失 . 這種 QR Code 交易多發生在 支付寶 及 微信支付 等軟件 .
另外一種 MST 磁帶讀卡器驗證功能的交易是 Samsung Pay 獨有 , 不過亦成了獨家安全漏洞 . 團隊驗證 , MST 實際傳輸範圍達2至4米 , 比官方公佈的 7.5厘米遠得多 , 不法分子有可以尾隨然後在支付時進行犯案 .
張教授指 NFC 支付方式(即 Apple Pay、Android Pay等)不在其研究範圍 , 不過就認為 NFC 是雙向溝通認證的技術 , 比 QR Code 安全得多。
對於 MST 的支付方式是否被其他人讀取傳輸 , 其實 MST 本身支付時需要輸入驗證碼 , 而驗證碼只可以用一次 , 所以即使讀取到傳輸被盜用的機會亦不大 . 但同時希望各位讀者明白 , 越方便的東西就越不安全 , 要安全就會麻煩 , 這個是定律(起碼到現時仍是) . 要方便還是要安全 , 看個人需要吧 .