五毛D wade 答到我點解qr code咁多保安漏洞但都重死撐未?

1001 回覆
119 Like 22 Dislike
2017-11-13 23:36:18
係咪因為要幫支付寶護航呀?
2017-11-13 23:37:12
中大研究指 QR Code 及 Samsung Pay 皆不安全


電子支付服務開始起跑的香港 , 市面上有各種支付方式 , 包括 Apple Pay、Android Pay、支付寶HK及 Samsung Pay . 在大家使用電子支付享受方便的同時 , 大家隨之擔心的就是安全問題 . 而今日 , 中大信息工程學系「系統保安研究實驗室」研究發現 , 電子支付中 QR Code(二維碼) 及 MST(磁帶讀卡器驗證) 這兩個支付方式存在安全漏洞 .


工程學系教授張克環就表示 , 黑客可以通過惡意程式控制手機及前置鏡頭 , 可以暗中打開前置鏡頭通過讀取 QR Code 付款倒影 , 在你未付款前已經提早取得金錢並提走。而另一個情況就是不法分子直接盜取用戶的屏幕上的 QR Code , 然後修改系統顯示不能交易 , 但實際已經取得交易金額 , 用戶可能會不知不覺就已經損失 . 這種 QR Code 交易多發生在 支付寶 及 微信支付 等軟件 .

另外一種 MST 磁帶讀卡器驗證功能的交易是 Samsung Pay 獨有 , 不過亦成了獨家安全漏洞 . 團隊驗證 , MST 實際傳輸範圍達2至4米 , 比官方公佈的 7.5厘米遠得多 , 不法分子有可以尾隨然後在支付時進行犯案 .


張教授指 NFC 支付方式(即 Apple Pay、Android Pay等)不在其研究範圍 , 不過就認為 NFC 是雙向溝通認證的技術 , 比 QR Code 安全得多。

對於 MST 的支付方式是否被其他人讀取傳輸 , 其實 MST 本身支付時需要輸入驗證碼 , 而驗證碼只可以用一次 , 所以即使讀取到傳輸被盜用的機會亦不大 . 但同時希望各位讀者明白 , 越方便的東西就越不安全 , 要安全就會麻煩 , 這個是定律(起碼到現時仍是) . 要方便還是要安全 , 看個人需要吧 .
2017-11-13 23:37:53
中大報告指電子支付系統存保安漏洞 「支付寶」問題最嚴重


中文大學信息工程學系教授張克環的研究團隊,對現今流動支付的相關技術,作出研究報告,指出部份流動支付方式背後存有保安漏洞,不法分子能夠利用來盜取用戶金錢。研究發現 Apple Pay 與 Android Pay 等以 NFC 技術為核心的交易方式較為安全,而使用二維 QR Code 作為付款方式的支付寶,存有保安漏洞,有機會被不法份子有機可乘。



根據報告指出,在眾多電子付款技術之中,以 NFC 技術為基本的 Apple Pay 與 Android Pay 並未有發現保安問題,在保障用戶資料方面最為周全。但另一方面就發現「支付寶」存有保安漏洞,用戶容易被不法份子取得付款資料,造成金錢上的損失。中大研究報告發現以「支付寶」問題較嚴重,該系統以 QR Code 作為收費認證,用戶需要把 QR 條碼傳遞給店員掃瞄。不法份子可侵入用戶手機,控制手機前置鏡頭,在店員掃瞄時,拍下掃瞄器倒影下的 QR 條碼,再傳到不法分子手上。張克環解釋,倒影被拍下之後,可修復並複製成與原本一樣的條碼。不法分子可利用此條碼在另一地方即時作收款用途。





▲左圖為用戶原有的支付寶畫面,但駭客可在畫面加手腳(右圖 QR 條碼右上角的空白位置),令商家掃瞄器不能正常掃瞄,買家不能正常付款,但條碼就送到駭客手上作不法用途

由於資料傳送只是單向溝通,用戶無法識別交易提否成功,出現問題時,用戶只會被通知再傳送多一次,其實可能是不法分子利用干擾器令 QR 條碼失靈,同時間不法分子可在背後利用該條碼取代了商家獲得用戶的款項。另外不法份子亦可在智能電話暗中安裝誘導程式,彈出提示問用戶是否更新 QR 條碼,但無論如何都會自動更新,而舊條碼則會送到不法分子手中。中大研究團隊已將報告交給支付寶,而支付寶聲稱已修復有關系統。報告建議手機用戶不要安裝不明來歷的程式,以免遭不法分子攻擊。
2017-11-13 23:38:39
支付寶真的安全嗎?

分類\科技
時間\2016-09-09
摘要:支付寶自2004年誕生以來到現在已經走過第一個十年!隨着餘額寶的誕生,讓更多人認識到了支付寶!隨着用戶的增多,人們存的錢自然多了。很多不法分子已經盯上了支付寶的各種漏洞來竊取支付寶里或者銀行的錢!



支付寶是一種方便、快速的支付方式。客戶可通過將個人第三方支付賬戶關聯自己的儲蓄卡或者信用卡,每次付款時只需輸入第三方支付賬戶的支付密碼和手機校驗碼即可完成付款,從而繞開了銀行支付網絡,只要綁定了銀行卡,用戶無需銀行卡密碼就可以通過支付寶從銀行卡里轉賬。

那麼,支付寶到底安全不安全呢?

工、農、中、建四大行陸續對快捷業務調整了限額,四大行對支付寶的單筆額度和單日累計基本限制在萬元以下,最低的僅為5000元,每月累計也基本不超過5萬元。針對「為何要限制支付寶限額」,工商銀行某處長回應稱,支付寶產生初衷是為了滿足網購客戶小額支付寶資金的便利性,只需要通過手機發送的支付機構的動態驗證碼,就可以從銀行賬戶劃轉資金進行支付。這種方式確實方便,但支付寶安全性存在明顯隱患,交易對手機的依賴性太高,一旦手機丟失、註冊時信息泄露或者手機被植入木馬病毒,綁定支付寶手機號便容易被篡改,用戶的資金很容易被盜。

曾經在一篇文章中討論過支付寶的安全問題,支付寶的安全關鍵在於手機,要保證手機絕對安全,特別是保證短訊安全,那才能保證支付寶的安全。對於支付寶的攻擊方法就更多了,如果用戶開通了小額支付免輸密碼,黑客只需安裝先前介紹的偽造身份證SIM開的方法即可直接支付小額付款。不過要盜取大量資金,還需要用戶的支付密碼方可,這裏黑客就採用各種方法攻擊用戶的支付密碼即可。


通常的攻擊方法除了在電腦端的木馬和釣魚網站之外,還有通過手機APP應用的攻擊方法,黑客可以先將具有盜號功能的惡意應用發佈到各個應用商店或論壇里,如果用戶使用Android手機下載並安裝這類惡意應用(例如假冒的遊戲應用),那麼惡意應用就在後台攔截用戶短訊通訊,然後再偽裝一筆轉賬,通過截獲用戶短訊來完成交易,或者通過後台將用戶引導到釣魚網站來截獲支付密碼,這樣就完全避規了銀行的USBKEY等令牌系統,從而盜取用戶資金。

為了應對這種情況,支付寶還推出了一個手機寶令這樣的動態令牌來加強手機支付的安全性,用戶啟用手機寶令後,即可看到一個每分鐘都變化的一次性密碼的「動態令牌」,在原有的短訊基礎不變上,增加上這個動態令牌,這樣,惡意應用即使攔截了用戶短訊和一次性密碼也沒用,因為無法計算出下次支付所需要的動態密碼,所以會使得竊取用戶資金會失敗。

動態令牌這個方案解決了黑客通過惡意應用盜取用戶銀行卡資金的威脅,但如果用戶手機被偷的話,別人就可以在手機上看到這個「動態令牌」,因此更為理想的方案是,支付寶再綁定一個動態令牌硬件(非手機動態令牌應用),例如已經停售的寶令,動態令牌可以掛在鑰匙鏈上,這樣即使手機丟了,沒有動態令牌也無法轉賬,動態令牌丟了,沒有支付寶密碼也一樣無法轉賬。這樣的方案就能夠大幅提高支付寶的安全性,並且技術上也很容易實現,無需驅動,這樣用戶就不用害怕自己的手機被盜而引起的資金財務風險了。


總而言之,用戶如果能保證自己的手機和短訊的絕對安全,支付寶就是安全的,否則就是不安全的。
2017-11-13 23:40:05
係咪因為要幫支付寶護航呀?

BAM曬班同事五毛係咪寂寞空虛冷冷冷
2017-11-13 23:40:51
係咪因為要幫支付寶護航呀?

BAM曬班同事五毛係咪寂寞空虛冷冷冷


我等入嚟呀on9五毛D wade
2017-11-13 23:43:22
2017-11-13 23:46:14
2017-11-13 23:48:41
屌你老母五毛D wade一味喺道話邊道邊道都有用qr code
但唔代表qr code問題解決左吖嘛
屌你老母
2017-11-13 23:55:21
五毛2300收工既傳聞係真既
2017-11-14 00:18:02
2017-11-14 01:29:20
用qr code就係五毛?
知唔知全世界幾多人用緊qr code?
2017-11-14 02:56:10
用qr code就係五毛?
知唔知全世界幾多人用緊qr code?

又犯D wade個錯誤
qr code多地方用唔代表qr code冇安全漏洞呀屌你老母
2017-11-14 02:58:07
屌你老尾關愛座真係狗黎
次撚次都係主動挑機跟住俾人屌到潛
等到冇人就突返個頭出黎攞個尾彩或者開新post
悶唔撚悶啊呢招



屌你老母五毛又loop
都係嗰句
你唔使話我知邊道會用qr code
你淨係話畀我聽qr code點樣好過nfc做交易方法得喇
2017-11-14 03:58:14
用qr code就係五毛?
知唔知全世界幾多人用緊qr code?

又犯D wade個錯誤
qr code多地方用唔代表qr code冇安全漏洞呀屌你老母

有漏洞點解仲唔停用
2017-11-14 04:28:16
用qr code就係五毛?
知唔知全世界幾多人用緊qr code?

又犯D wade個錯誤
qr code多地方用唔代表qr code冇安全漏洞呀屌你老母

有漏洞點解仲唔停用

你應該係要問支付寶點解未提供到解決方案就硬推出市面
2017-11-14 09:03:06
樓主可唔可以解釋下點解屌人用淘寶就係五毛
2017-11-14 10:39:11
屌你老尾關愛座真係狗黎
次撚次都係主動挑機跟住俾人屌到潛
等到冇人就突返個頭出黎攞個尾彩或者開新post
悶唔撚悶啊呢招



屌你老母五毛又loop
都係嗰句
你唔使話我知邊道會用qr code
你淨係話畀我聽qr code點樣好過nfc做交易方法得喇

假兩難(推理、論證)(False dilemma),又稱非黑即白(black-or-white)、偽(假)二分法、偽二擇(選)一法、偽兩面法、雙刀法等,是提出少數選項(一般是兩個,但有可能是三個或更多)要人從中擇一,但這些選擇並未涵蓋所有的可能性。非黑即白是一種非形式謬誤。

非黑即白是基於對排中律的誤用。排中律只適合衡量非此即彼的二元觀念(例如「對與錯」、「真與假」等等),用於其他範疇未必恰當。要破解此類謬誤,可證明除了論證中提出的選項外,還有其他可能。

例子:qr code點樣好得過nfc呀?
說明:並非只有「qr code好過nfc」和「nfc好過qr code」兩個選項,中間還有兩者於不同場合各有擅場嘅可能
吹水台自選台熱 門最 新手機台時事台政事台World體育台娛樂台動漫台Apps台遊戲台影視台講故台健康台感情台家庭台潮流台美容台上班台財經台房屋台飲食台旅遊台學術台校園台汽車台音樂台創意台硬件台電器台攝影台玩具台寵物台軟件台活動台電訊台直播台站務台黑 洞