热门关键词:

论手机支付漏洞:毋须太恐慌

11-17
11-17,手机资讯论手机支付漏洞:毋须太恐慌最新消息报导,手机发烧友手机资讯
日前中文大学工程学院发表有关手机流动支付方案的保安研究报告,指目前市面上手机用的几种支付方式皆存在著保安漏洞,会在用户不知情的情况之下被盗取金钱。报告一出,各媒体大小标题都集中火力讲「流动支付很危险」,不消一会,网上就充斥著「我不会用手机付钱」、「现金更方便」等等的言论。

就著这一事件,作为媒体其实是有责任整理几点,让用户更加清楚这些所谓「漏洞」背后的运作原理,只要充份了解的话,至少可以理解到其实并不需要太过惊惶、甚至「斩脚趾避沙虫」。
是次的漏洞针对的是 QR Code、声波支付以及 Samsung Pay 特有的 MST 磁带支付,虽然几个用以交易的媒介不同,但整个操作过程,就是由付款方手机批出一个「支付令牌(Payment Token)」,再为收款方提供特定的 QR Code 画面、声波、磁码,完成收款程序。由于以上的几个支付方式皆为「单向」,中大研究就指出了几个支付令牌的「盗取」方式,指出不法份子可以获取令牌后将窃取用户金钱。
 
骤听真的极危险,然而这些漏洞亦有其限制,而中大研究报告却没有仔细提及:
一、这些「支付令牌」,一般都会有设定「使用时限(Time Out)」,在一段短时间内没有进行交易,该令牌就会自动作废
 
二、这些手机「支付令牌」,一般在批出时就会绑定交易银码,「支付令牌」在兑现时亦会核对收款方的银码才确认交易,即使被盗,金额亦只会跟该笔交易一样,并不如部份人想像一般,漏洞出现后就「中门大开」、被人透支信用卡
 
三、QR Code 的盗取过程,需要用到前镜头拍摄屏幕倒影,技术上可行,但如果各位有试过用 QR Code 交易的话,大概都会知道扫瞄器在手机上停留的时间极短,在不作人手操作的情况之下,距离过近、对焦时间不足、手震这些因素,最终只会导致大量的失败影像出现。偷钱不成,还要被一堆垃圾影像「攻击」,背后浪费的成本与回报真的能成正比?
 
四、声波与磁码的截取,不需要事前入侵手机,只需要匪徒身在用户附近即可做到。但这需要一部特殊装置、决不是一部手机就可轻鬆做到的事。那在你付钱的同时,有人突然举机向著你,你会不感到可疑吗?姑且当装置放在极隐秘之处,单要在交易进行的一瞬间于装置输入相关银码再截取交易,已是难度极高的事。

  • 赞助商广告