港中大揭移动支付漏洞 用户易被盗取

流动支付方式近年愈趋流行，部分支付方式暗藏保安漏洞，成为香港移动支付进一步拓展的障碍。香港中文大学工程学院研究发现内地流行常用的二维码扫描(QR code)、磁条读卡器验证存在明显的安保漏洞，容易被不法分子盗取交易授权，招致损失。

移动支付存在不可忽视的安保漏洞(网络图片)

中大信息工程学系张克环教授于过去两年就各种流动支付系统作研究，其中内地流行的QR code交易方面，发现有不法分子利用干扰器令QR ode失灵和控制手机镜头窃取其QR code，取而代之成为交易权限者。支付宝正是利用此方法作交易，研究组已经通知其问题，以作出修复。

支付权限随时被盗用

至于三星流动支付系统的磁条读卡器(MST)，用户进行交易时，需要将手机移到商户收银机附近7.5厘米内进行身份确认。然而，经过团队多番测试，发现实际接收范围可远至2米，甚至4米距离。如不法分子混入超市付款者的队伍中，即可伺机发起攻击，窃取并盗用支付权限。

至于香港常用的近场通讯(NFC)支付方式则是採用双向式的沟通方式，用户能够得知交易错误，商户收银机亦可通知用户有关情况，故暂时没有看到任何危险。

张克环建议，商户可在收银系统加装指定商户QR code，加上认证ID，以确保交易只能该用户使用，避免被人盗取使用。