张克环表示,现时业界常用的四种支付令牌传输渠道中,除近场通讯(NFC)外,二维码(QR Code)扫描、磁条读卡器验证(MST)和声波转化,都属于单向式沟通,用户交易失败时,商户收银机无法通知手机用户端,产生的支付令牌(Payment Token)亦无法被收回或取消,让不法份子有机可乘。支付宝等采用的QR Code扫描是大陆流行的流动支付系统。研究发现,不法份子可使用恶意远程装置从收银机屏幕上嗅探(sniff)得付款人的支付令牌,用于另一项交易。但用户无法收到交易失败的信号,从而在不知不觉间蒙受损失。研究团队发现此漏洞后,支付宝关闭了“付款QR Code 线上转账功能”,仅保留QR Code的离线支付功能。

QR Code倒影可被盗用

张克环提醒,除了支付平台要推出更严密的验证方式,手机用户亦要时刻警觉,避免下载来历不明的手机应用程式。一些恶意程式可以在用户采用QR Code付款时,控制前置镜头拍摄反射在扫描器玻璃面上的QR Code倒影,再经网络传送至不法份子,从而盗用账户消费。恶意软件还可能在用户之间转账时生成多个QR Code,利用多生成的QR Code盗取付账用户的金钱。

至于专属于三星流动支付系统的MST功能,研究团队多番测试,发现手机与商家收银机实际接收范围可远至两米。如不法份子混入超市付款者的队伍中,即可伺机发起攻击,窃取并盗用支付令牌。常用于自动售卖机的声波支付也有相同漏洞。

张克环表示,相关的流动支付平台已经就研究团队发现的漏洞采取措施补救,但不排除有尚未发现的漏洞。他又指,除了保安漏洞之外,电子支付亦可能带来私隐问题,因为支付系统的后台服务器会存有用户每一次消费的纪录,提醒用家需要在便利和风险之间寻找平衡。◇