支付宝也出现问题!能做到另地收款用途

在近日不知道为何资安问题频传,也请各位多多注意!

中文大学信息工程学系教授张克环的研究团队,对现今流动支付的相关技术,作出研究报告,指出部份流动支付方式背后存有保安漏洞,不法分子能够利用来盗取用户金钱。研究发现 Apple Pay 与 Android Pay 等以 NFC 技术为核心的交易方式较为安全,而使用二维 QR Code 作为付款方式的支付宝,存有保安漏洞,有机会被不法份子有机可乘。

00001

根据报告指出,在众多电子付款技术之中,以 NFC 技术为基本的 Apple Pay 与 Android Pay 并未有发现保安问题,在保障用户数据方面最为周全。但另一方面就发现「支付宝」存有保安漏洞,用户容易被不法份子取得付款数据,造成金钱上的损失。中大研究报告发现以「支付宝」问题较严重,该系统以 QR Code 作为收费认证,用户需要把 QR 条形码传递给店员扫瞄。不法份子可侵入用户手机,控制手机前置镜头,在店员扫瞄时,拍下扫瞄器倒影下的 QR 条形码,再传到不法分子手上。张克环解释,倒影被拍下之后,可修复并复制成与原本一样的条形码。不法分子可利用此条形码在另一地方实时作收款用途。

01 (5) 01 (6)

▲左图为用户原有的支付宝画面,但黑客可在画面加手脚(右图 QR 条形码右上角的空白位置),令商家扫瞄器不能正常扫瞄,买家不能正常付款,但条形码就送到黑客手上作不法用途

由于数据传送只是单向沟通,用户无法识别交易提否成功,出现问题时,用户只会被通知再传送多一次,其实可能是不法分子利用干扰器令 QR 条形码失灵,同时间不法分子可在背后利用该条形码取代了商家获得用户的款项。另外不法份子亦可在智能电话暗中安装诱导程序,弹出提示问用户是否更新 QR 条形码,但无论如何都会自动更新,而旧条形码则会送到不法分子手中。中大研究团队已将报告交给支付宝,而支付宝声称已修复有关系统。报告建议手机用户不要安装不明来历的程序,以免遭不法分子攻击。