中文大學信息工程學系教授張克環的研究團隊,對現今流動支付的相關技術,作出研究報告,指出部份流動支付方式背後存有保安漏洞,不法分子能夠利用來盜取用戶金錢。研究發現 Apple Pay 與 Android Pay 等以 NFC 技術為核心的交易方式較為安全,而使用二維 QR Code 作為付款方式的支付寶,存有保安漏洞,有機會被不法份子有機可乘。
根據報告指出,在眾多電子付款技術之中,以 NFC 技術為基本的 Apple Pay 與 Android Pay 並未有發現保安問題,在保障用戶資料方面最為周全。但另一方面就發現「支付寶」存有保安漏洞,用戶容易被不法份子取得付款資料,造成金錢上的損失。中大研究報告發現以「支付寶」問題較嚴重,該系統以 QR Code 作為收費認證,用戶需要把 QR 條碼傳遞給店員掃瞄。不法份子可侵入用戶手機,控制手機前置鏡頭,在店員掃瞄時,拍下掃瞄器倒影下的 QR 條碼,再傳到不法分子手上。張克環解釋,倒影被拍下之後,可修復並複製成與原本一樣的條碼。不法分子可利用此條碼在另一地方即時作收款用途。
▲左圖為用戶原有的支付寶畫面,但駭客可在畫面加手腳(右圖 QR 條碼右上角的空白位置),令商家掃瞄器不能正常掃瞄,買家不能正常付款,但條碼就送到駭客手上作不法用途
由於資料傳送只是單向溝通,用戶無法識別交易提否成功,出現問題時,用戶只會被通知再傳送多一次,其實可能是不法分子利用干擾器令 QR 條碼失靈,同時間不法分子可在背後利用該條碼取代了商家獲得用戶的款項。另外不法份子亦可在智能電話暗中安裝誘導程式,彈出提示問用戶是否更新 QR 條碼,但無論如何都會自動更新,而舊條碼則會送到不法分子手中。中大研究團隊已將報告交給支付寶,而支付寶聲稱已修復有關系統。報告建議手機用戶不要安裝不明來歷的程式,以免遭不法分子攻擊。
早前有報道指 BT 種子網站 The Pirate Bay 未經同意下植入「挖幣」程式,而最近美國三大新聞網絡之一 CBS 廣播公司旗下付費電視業務的網頁,亦被發現載有同類型的程式碼。根據挖幣程式開發者 Coin Hive 的資料指出,有關程式碼連接的是一個個人帳戶,相信並非 CBS 官方有意植入程式碼,而是有駭客或不誠實員工故意加入。此類程式碼可在未經用戶同意之下,使用用戶電腦的處理器資源,來為網站挖掘例如 Bitcoin 等虛擬貨幣。
今次被發現有「挖幣」程式碼的是 CBS 旗下的付費影片服務「SHOWTIME」以及其系列網站「SHOWTIME ANYTIME」。被指有問題的程式碼已經被刪除,但新聞網站 The Register 就記錄了有關程式碼的內容。這段程式碼跟之前在 The Pirate Bay 上發現的程式碼完全相同。這程式碼會利用網頁瀏覽者的電腦處理器資源,來為網站擁有人挖掘虛擬貨幣。The Register指出相關程式碼在 9 月 23 日開始被植入,而在 9 月 25 日被刪除。
有關方面未有對 The Register 的查詢作出回應,但該報記者指出,程式碼應該是有駭客或不誠實的員工故意加入,而並非官方有意植入的。
為 SHOWTIME 網站做流量分析的 New Relic 公司就對記者表示,他們跟這段程式碼毫無關係。這並非流量分析的程式碼之一,相信是網頁開發人員加上的。
至於程式製作者 Coin Hive 的負責人指出,雖然他們基於個人私隱,不能透露用戶資料,但他們證實有關程式碼連結的帳戶是一個個人帳戶,並非 CBS 官方帳戶。他們相信有關程式碼屬於惡意行為。
