中大新聞中心
中大工程學院發現流動支付系統保安漏洞
香港中文大學(中大)信息工程學系張克環教授領導的系統保安研究實驗室積極就各種流動支付系統的安全及防護作研究及分析,率先發現一大保安漏洞,促使內地的第三方主要支付平台及時採取相應措施防範詐騙。相關研究成果亦於上月在加拿大溫哥華舉行的國際頂級網絡安全學術會議(USENIX Security ’17)上發表,促進流動支付系統保安技術的發展。
隨著金融科技的發展,無現金社會(Cashless Society)成為全球未來的大趨勢,多種流動支付系統相繼推出,衍生一連串潛在的資金安全問題。在流動支付過程中,作為身分驗證的支付令牌(Payment Token)是手機用戶端與商戶收銀機溝通的核心。現時最為業界廣泛使用的四種支付令牌傳輸渠道分別為:近場通訊(Near-field Communication,NFC)、二維碼(Quick Response Code, QR Code)掃描、磁條讀卡器驗證(Magnetic Secure Transmission, MST)和聲波轉化。張克環教授表示,除NFC外,其他三項皆屬單向式溝通,換言之,一旦交易失敗,商戶收銀機無法通知手機用戶端,而已經產生的支付令牌亦無法被收回或取消,讓不法分子有機可乘。張教授的團隊為此就各種流動支付系統的保安問題進行長達兩年的深入研究。
QR Code掃描是現時普及度最高的流動支付系統。研究團隊發現,不法分子可利用一種惡意裝備遠程從收銀機屏幕上嗅探(sniff)得付款人的支付令牌,將之用於另一項交易。由於其支付令牌的特性,用戶無法收到交易失敗的信號,便會在不知不覺間蒙受損失。研究團隊將此發現結果通知受影響的第三方支付平台,促使該平台及時採取適當行動,關閉「付款QR Code線上轉賬功能」,僅保留QR Code的離線支付功能,以減少用戶需要向他人出示付款碼的機會。基於此項重大發現,促使該第三方支付平台及時作出補救,保障龐大手機用戶群的電子錢包。
至於專屬於三星流動支付系統的磁條讀卡器驗證功能(MST),一般來說,用戶在進行交易時需要將手機移到商戶收銀機附近7.5厘米內進行身分確認。然而,經過團隊多番測試,發現實際接收範圍可遠至兩米。如不法份子混入超市付款者的隊伍中,即可伺機發起攻擊,竊取並盜用支付令牌。而常用於自動售賣機的聲波支付也有相同漏洞,當手機用戶端發出聲波,將支付令牌傳送給自動售賣機的過程中,聲波同樣易於被盜取,令用戶招致損失。
張克環教授表示,除了把研究結果向相關的第三方支付平台報告,一般手機用戶亦要時刻警覺,避免下載來歷不明的手機應用程式。一旦有惡意程式被安裝至手機,程式能夠控制前置鏡頭,當用戶採用QR Code付款時,程式便有機可乘,拍攝反射在掃瞄器玻璃面上的QR Code倒影,再經網絡傳送至不法份子,無聲無色地盜取使用。
就以上研究成果,張教授率領團隊遠赴加拿大溫哥華,以「幫我埋單:流動支付中的令牌同步竊取與盜用問題研究與防範」(Picking Up My Tab: Understanding and Mitigating Synchronized Token Lifting and Spending in Mobile Payment)為題,在國際頂尖的網絡安全學術會議USENIX Security ’17中發表。會議雲集了世界各地從事網絡安全的學者、研發人員、執法人員及政策制定者,發布有關網絡安全的最新研發,大會在全球學術及業界享負盛名。
中大工程學院系統保安研究實驗室在過去三年,已先後在多個國際頂尖安全會議上發表六篇高水平論文,帶領香港的系統保安研究走在世界的前沿。