|
流动支付无处不在,而各平台蕴含不同技术。本港常见流动支付工具如Apple Pay使用NFC(Near Field Communication)技术,即近距离无线通信,允许电子设备之间进行非接触式点对点数据传输(在十厘米內)的交换数据,中大学者认为这技术相对较安全。
NFC让两个电子装置在非常短的距离进行资料传输,技术採用双向的识別和连接,对于交易是否已支付都可以在电话上即时反馈。
其他支付工具还包括三星支付,可以利用三大技术中的任何一种技术来完成支付:近场通讯(NFC)、磁条读卡器验证功能(MST,Magnetic Secure Transmission)和条码扫描。MST技术在旧式「碌卡机」上,只要在机旁卡位一拍即可付款,若磁条读卡器因故无法使用,Samsung Pay將会产生一个条码,这个条码能够被扫描进而完成支付,惟方圆两米內均可接受有关信號。
微信支付及支付宝等则採用二维码(QR Code)支付技术,商家可把帐號、商品价格等交易信息汇编成一个二维码,用户通过手机客户端扫拍二维码,便可实现与商家支付宝帐户的支付结算。
中文大学信息工程学系助理教授张克环与团队,就各种移动支付系统的安全,及防护作研究及分析。他们过去两年研究近场通讯(NFC)、二维码(QR Code)扫描、磁条读卡器验证(MST)和声波转化。除NFC外,其他三项皆属单向式沟通,即交易失败后无法即时反馈,故指出NFC支付相对较为安全。
张克环以支付宝使用二维条码(QR Code)作例子,指不法分子能用黑客程式入侵手机的前置镜头,偷取拍摄扫描器所显示的QR Code倒影,便可利用该QR Code进行未经授权的交易。其团队于北京快餐店进行测试,成功于一分钟內盗取二维码並购买饮品。
两米內可接收交易信號
至于採用MST的「Samsung Pay」,虽然三星要求用户使用时要將手机贴近读卡器,但研究发现距离读卡器两米內的地方均可接收交易信號,同样有机会被不法分子盗取。
张克环说,团队已向有关公司报告问题,支付宝並作出改善,为用户提供不同二维码。他又表示,每一部手机屏幕亮度有其独特性,如山势有「等高线」显示般,手机屏幕亦有「等亮线」,团队下一步將研究,如何识別手机等亮线加强支付保安。
三星蚂蚁金服:可能性极低
三星电子香港发言人向《大公报》表示,Samsung Pay支付系统经过严格的测试,以确保防线设置高度安全。公司关注到最近相关的报道,並正了解事件,但相信成功窃取支付代码的可能性极低。
蚂蚁金服发言人回应《大公报》查询称,研究报告中在多项假设下出现安全「漏洞」,其攻击环境和条件要求都极高,在实际生活中几乎不具有可行性。发言人说,支付宝用一整套的智能实时风控系统(CTU)来保障用户帐户安全,在CTU保护下,目前支付宝的交易资损率不到百万分之一,远低于国际领先支付机构千分之二的风险水平。
互联网专业协会副会长陈家豪说,不论NFC或二维码均有其支付风险,但要视乎技术是否已经做得完善,他举例,过去荷兰亦曾由于NFC加密程度不足,令使用增值卡的用户可任意改变余额银码,最后需全面更换增值卡。他说,用户向商户支付时出示的二维码,每半分钟或一分钟便会变动一次,基本上已有足够安全性。
根据中新网、大公网等综合采编
【文章观点仅代表个人观点】 |
|