[david]

Samsung Pay、支付寶存漏洞

引用:

流動電子付款應用日趨普及，中大研究發現多種流動支付系統中，Samsung的磁帶讀卡器驗證（MST）及內地「支付寶」常用的二維碼（QR Code）潛在較高的安全風險。

付款代碼或外洩

中大信息工程學系教授張克環與其團隊，用兩年時間研究各流動支付系統的安全，現時業界現廣泛使用的4種支付渠道為NFC（近場通訊）、QR Code、MST和聲波轉化。Samsung Pay（圖）採MST功能，經測試後發現實際傳輸範圍高達2米，「後面的人可用干擾器影響交易，從而取得TOKEN（付款代碼）」。而支付寶付款需用手機鏡頭掃描QR Code，不法分子可用黑客程式入侵手機前置鏡頭，從而偷拍掃描器內反射QR Code的倒影。而本港常用的NFC則不在是次研究範圍，「NFC相對QR Code安全性高」。

支付寶指，TOKEN屬一次性，並在極短時間內失效；而研究所指出的安全漏洞，需要用戶設備中被安裝惡意應用程式，且其攻擊環境和條件要求都極高，難以實行。Samsung則指關注事件，但相信竊取TOKEN的可能性極低。