金融界首页 > 理财频道 > 理财资讯 > 正文

支付宝三星支付被曝可隔空盗用账户 回应:可能性低

手机看热销基金排行0评论
2017-09-29 15:10:22 来源:金融界理财频道

【支付宝三星支付被曝可隔空盗用账户 回应:可能性低】香港中文大学工程学院研究发现,支付宝、Samsung Pay均存有安全漏洞。其中针对支付宝用户,黑客可利用恶意软件,远距离入侵用户手机,再在交易时盗取QR code作另一宗交易。Samsung Pay也被指用户手机与商户收款机的接收范围在7.5厘米远时,如果不法分子在用户2-4米范围内,可隔空盗用账户。

支付宝三星支付被曝可隔空盗用账户 回应:可能性低

  香港中文大学工程学院研究发现,支付宝、Samsung Pay均存有安全漏洞。其中针对支付宝用户,黑客可利用恶意软件,远距离入侵用户手机,再在交易时盗取QR code作另一宗交易。Samsung Pay也被指用户手机与商户收款机的接收范围在7.5厘米远时,如果不法分子在用户2-4米范围内,可隔空盗用账户。

  在支付过程中,最广泛应用的支付代码为二维码(QR code)、磁条读卡器验证(MST)、声波转化及NFC(近场通讯)。香港中文大学信息工程学系张克环指出,QR code、MST及声波转化皆属单向式沟通,一旦交易失败,商户无法通知买家,但过程中产生的支付代码(payment token)无法收回或取消而成为漏洞,令不法分子有机可乘。

  交易失败 商户很难通知客人

  张克环与团队以支付宝作测试,通常用户须向商户展示其QR code,让对方以收款机“嘟”的声音提示来完成交易。但研究发现,黑客可利用恶意软件入侵手机前置镜头,拍摄扫瞄器上的QR Code的倒影,再立即用来进行交易,令用户帐户不知不觉“被交易”。

  除了上述方法,不法份子亦可入侵用户手机,自动弹出提示询问用户是否更新QR Code,不论选择什么结果,QR Code都会遭自动更新,而旧有的QR Code在不知不觉间已被盗取。

  MST接收远至2米 易拦截数据

  至于专属Samsung Pay的MST,服务声称交易时,手机须移至收款机附近7.5厘米进行身份确认,经过团队多番测试后发现,实际接收范围可远至2-4米。例如:用户在超市付款,附近有不法分子混入,由于与付款者距离较近,可通过程序发动攻击,窃取及盗用支付令牌。

  张克环解释,支付令牌用作身分认证,可确认手机用户所发出的付款指示与商户收款机所显示的交易是否吻合,而每宗交易都有独特的付款令牌。但上述支付系统均采用单向式沟通,即交易失败时无法透过手机通知付款者,交易用的支付令牌亦不会自动取消,令不法份子有机会盗用。

  张克环指出,测试均在内地进行,至于本地交易常用的NFC,如APPle Pay和Android Pay则属双向式沟通,暂未发现安全漏洞。他建议用户勿下载来历不明的程序,考虑使用流动支付的需求。香港中文大学相关团队已向包括支付宝与三星等相关公司反映结果,以修补交易漏洞。

  两公司响应:可行性低

  支付宝母公司蚂蚁金服回应,研究中所指的支付代码是一次性,并在极短时间内失效;而研究团队所提及的“漏洞”中,用户手机首要被安装一个恶意软件,其攻击环境、条件要求都极高,在实际生活几乎不可行。支付宝系统每天都会对上亿笔交易进行实时扫描,在保护个人隐私下,从账号行为、交易环境等进行风险检测。Samsung Pay表示,支付系统经严格测试,关注到相关报道,正了解事件,但相信成功窃取账户支付代码的可能性极低。(综合头条日报报道)

责任编辑:Robot RF13015
我要评论
金融界旗下基金交易平台
证监会授牌独立基金销售机构
资金同卡进出,银行加密保证
每日爆款 新手专享
新手专享12%约定借款利率
30
投资期限
300,000元
融资额度
精选产品
0费用存取,1元起投
7×24小时随时取现,秒到账
历史年化收益9%-17.75%
500元起投,申购费1
6.3%
年化收益
投资期限 60
可投金额 950,000
7.2%
年化收益
投资期限 112
可投金额 600,000
7.8%
年化收益
投资期限 180
可投金额 875,600
基金收益排行
实时热点
  • 盈钱包
  • 这个钱包能赚钱
  • 7日年化收益3.21%
  •