中大新聞中心

2017年9月28日

中大工程学院发现流动支付系统保安漏洞

2017年9月28日
分享
列印

中大信息工程学系张克环教授

香港中文大学(中大)信息工程学系张克环教授领导的系统保安研究实验室积极就各种流动支付系统的安全及防护作研究及分析,率先发现一大保安漏洞,促使内地的第三方主要支付平台及时采取相应措施防范诈骗。相关研究成果亦于上月在加拿大温哥华举行的国际顶级网络安全学术会议(USENIX Security ’17)上发表,促进流动支付系统保安技术的发展。 

随著金融科技的发展,无现金社会(Cashless Society)成为全球未来的大趋势,多种流动支付系统相继推出,衍生一连串潜在的资金安全问题。在流动支付过程中,作为身分验证的支付令牌(Payment Token)是手机用户端与商户收银机沟通的核心。现时最为业界广泛使用的四种支付令牌传输渠道分别为:近场通讯(Near-field Communication,NFC)、二维码(Quick Response Code, QR Code)扫描、磁条读卡器验证(Magnetic Secure Transmission, MST)和声波转化。张克环教授表示,除NFC外,其他三项皆属单向式沟通,换言之,一旦交易失败,商户收银机无法通知手机用户端,而已经产生的支付令牌亦无法被收回或取消,让不法分子有机可乘。张教授的团队为此就各种流动支付系统的保安问题进行长达两年的深入研究。 

QR Code扫描是现时普及度最高的流动支付系统。研究团队发现,不法分子可利用一种恶意装备远程从收银机屏幕上嗅探(sniff)得付款人的支付令牌,将之用于另一项交易。由于其支付令牌的特性,用户无法收到交易失败的信号,便会在不知不觉间蒙受损失。研究团队将此发现结果通知受影响的第三方支付平台,促使该平台及时采取适当行动,关闭「付款QR Code线上转账功能」,仅保留QR Code的离线支付功能,以减少用户需要向他人出示付款码的机会。基于此项重大发现,促使该第三方支付平台及时作出补救,保障庞大手机用户群的电子钱包。 

至于专属于三星流动支付系统的磁条读卡器验证功能(MST),一般来说,用户在进行交易时需要将手机移到商户收银机附近7.5厘米内进行身分确认。然而,经过团队多番测试,发现实际接收范围可远至两米。如不法份子混入超市付款者的队伍中,即可伺机发起攻击,窃取并盗用支付令牌。而常用于自动售卖机的声波支付也有相同漏洞,当手机用户端发出声波,将支付令牌传送给自动售卖机的过程中,声波同样易于被盗取,令用户招致损失。 

张克环教授表示,除了把研究结果向相关的第三方支付平台报告,一般手机用户亦要时刻警觉,避免下载来历不明的手机应用程式。一旦有恶意程式被安装至手机,程式能够控制前置镜头,当用户采用QR Code付款时,程式便有机可乘,拍摄反射在扫瞄器玻璃面上的QR Code倒影,再经网络传送至不法份子,无声无色地盗取使用。 

就以上研究成果,张教授率领团队远赴加拿大温哥华,以「帮我埋单:流动支付中的令牌同步窃取与盗用问题研究与防范」(Picking Up My Tab: Understanding and Mitigating Synchronized Token Lifting and Spending in Mobile Payment)为题,在国际顶尖的网络安全学术会议USENIX Security ’17中发表。会议云集了世界各地从事网络安全的学者、研发人员、执法人员及政策制定者,发布有关网络安全的最新研发,大会在全球学术及业界享负盛名。 

中大工程学院系统保安研究实验室在过去三年,已先后在多个国际顶尖安全会议上发表六篇高水平论文,带领香港的系统保安研究走在世界的前沿。 

示范短片:https://sites.google.com/site/stlsinmobilepayment/home



中大信息工程学系张克环教授

中大信息工程学系张克环教授

 

下载所有相片