繁體中文 簡体中文
註冊成會員  
忘記密碼
NO.1
Huawei
Mate 10
NO.2
Huawei
Mate 10 Pro
NO.3
LG
V30+
4.SAMSUNG Galaxy Note 8
5.SAMSUNG Galaxy C8
6.SAMSUNG Galaxy C9 Pro
7.OnePlus OnePlus 5T
8.NOKIA NOKIA 8
9.HTC U11+
10.Razer Razer Phone
Wifi
HD 影片拍攝
NFC
 
對比手機1
對比手機2
對比手機3
新聞館
【專題報導】S845 + 長焦攝影 CES、MWC 大 Show 有乜新機 ?
唔使靠信用卡?中移香港上台可入機場貴賓室!
每日 HK$18 起 3 香港數據漫遊齊半價
續航力長達 40 日!Gear S3 更新追加「手錶」模式
返回
【小編有 Say】論手機支付漏洞:毋須太恐慌
2017-09-30
作者: Oman
其他焦點新聞:
16-12-2017
16-12-2017
16-12-2017
分享至Facebook   分享至微博  

【小編有 Say】論手機支付漏洞:毋須太恐慌

 
 

日前中文大學工程學院發表有關手機流動支付方案的保安研究報告,指目前市面上手機用的幾種支付方式皆存在著保安漏洞,會在用戶不知情的情況之下被盜取金錢。報告一出,各媒體大小標題都集中火力講「流動支付很危險」,不消一會,網上就充斥著「我不會用手機付錢」、「現金更方便」等等的言論。

就著這一事件,作為媒體其實是有責任整理幾點,讓用戶更加清楚這些所謂「漏洞」背後的運作原理,只要充份了解的話,至少可以理解到其實並不需要太過驚惶、甚至「斬腳趾避沙蟲」。

 
 

是次的漏洞針對的是 QR Code、聲波支付以及 Samsung Pay 特有的 MST 磁帶支付,雖然幾個用以交易的媒介不同,但整個操作過程,就是由付款方手機批出一個「支付令牌(Payment Token)」,再為收款方提供特定的 QR Code 畫面、聲波、磁碼,完成收款程序。由於以上的幾個支付方式皆為「單向」,中大研究就指出了幾個支付令牌的「盜取」方式,指出不法份子可以獲取令牌後將竊取用戶金錢。

驟聽真的極危險,然而這些漏洞亦有其限制,而中大研究報告卻沒有仔細提及:
一、這些「支付令牌」,一般都會有設定「使用時限(Time Out)」,在一段短時間內沒有進行交易,該令牌就會自動作廢

二、這些手機「支付令牌」,一般在批出時就會綁定交易銀碼,「支付令牌」在兌現時亦會核對收款方的銀碼才確認交易,即使被盜,金額亦只會跟該筆交易一樣,並不如部份人想像一般,漏洞出現後就「中門大開」、被人透支信用卡

三、QR Code 的盜取過程,需要用到前鏡頭拍攝屏幕倒影,技術上可行,但如果各位有試過用 QR Code 交易的話,大概都會知道掃瞄器在手機上停留的時間極短,在不作人手操作的情況之下,距離過近、對焦時間不足、手震這些因素,最終只會導致大量的失敗影像出現。偷錢不成,還要被一堆垃圾影像「攻擊」,背後浪費的成本與回報真的能成正比?

四、聲波與磁碼的截取,不需要事前入侵手機,只需要匪徒身在用戶附近即可做到。但這需要一部特殊裝置、決不是一部手機就可輕鬆做到的事。那在你付錢的同時,有人突然舉機向著你,你會不感到可疑嗎?姑且當裝置放在極隱秘之處,單要在交易進行的一瞬間於裝置輸入相關銀碼再截取交易,已是難度極高的事。

中大研究指出的流動支付「漏洞」,本身含有大量前設,屬沙盤推演中的極端結論,在現實生活中對青戶做成的影響微乎其微。各位與其擔心金錢在手機支付的一瞬間被盜,在光天化日下被人在大街大巷搶走錢包的機會率還可能更高呢。

 
分享至Facebook   分享至微博  

 
 
index
 
;