支付宝三星支付被曝可隔空盗用账户 回应：可能性低

本篇文章1283字，读完约3分钟

香港中文大学工程学院的研究发现，支付宝和三星支付都存在安全漏洞。对于支付宝用户来说，黑客可以使用恶意软件从远处入侵用户的手机，然后窃取二维码进行另一次交易。三星付费还意味着，当用户的手机和商家的收银机之间的接收距离为7.5厘米时，如果罪犯在用户2-4米范围内，他们就可以窃取账户。

香港中文大学工程学院的一项研究发现，支付宝和三星支付都存在安全漏洞。对于支付宝用户来说，黑客可以使用恶意软件从远处入侵用户的手机，然后窃取二维码进行另一次交易。三星付费还意味着，当用户的手机和商家的收银机之间的接收距离为7.5厘米时，如果罪犯在用户2-4米范围内，他们就可以窃取账户。

在支付过程中，最广泛使用的支付代码是二维码、磁条阅读器验证(mst)、声波转换和近场通信(nfc)。香港中文大学信息工程系的张克欢指出，二维码、mst和声波转换都是单向通信。一旦交易失败，商家就不能通知买方，但是在交易过程中产生的支付令牌不能被撤回或取消，这就成为一个漏洞，给了罪犯利用它的机会。

当交易失败时，商家很难通知顾客

张克欢和他的团队使用支付宝作为测试。通常，用户应该向商家显示他们的二维码，这样对方就可以通过收银机的“哔”声完成交易。然而，人们发现，黑客可以利用恶意软件入侵手机的前置镜头，拍摄二维码在扫描仪上的反射，然后利用它立即进行交易，使用户的账户在不知不觉中被“交易”。

除了上述方法，罪犯还可以入侵用户的手机，并自动弹出提示，询问用户是否更新二维码。无论选择什么结果，二维码都会自动更新，旧的二维码会在不知不觉中被盗。

Mst接收容易截获的数据最远可达2米

至于三星支付的mst，该服务声称在交易时，手机必须移动到收银机附近7.5厘米的地方进行身份确认。经过小组反复测试，发现实际接收范围可达2-4米。例如，当用户在超市付款时，附近就有不法分子。由于用户与付款人关系密切，他可以通过程序发起攻击、窃取和盗用支付令牌。

张克欢解释说，支付令牌是用于身份认证，以确认手机用户发送的支付指令是否与商户收银机显示的交易一致，每笔交易都有唯一的支付令牌。然而，上述支付系统都采用单向通信，即当交易失败时，不能通过手机通知付款人，用于交易的支付令牌也不会自动取消，从而使犯罪分子有机会窃取。

张克欢指出，测试都是在内地进行的，而在本地交易中常用的nfc，如苹果支付和安卓支付，是双向通信，还没有发现安全漏洞。他建议用户不要下载来历不明的程序，并考虑使用移动支付的必要性。香港中文大学的相关团队已经向支付宝和三星等相关公司报告了结果，以弥补交易漏洞。

两家公司回应道:低可行性

支付宝母公司蚂蚁金服回应称，研究中提到的支付代码是一次性的，在很短的时间内到期；在研究小组提到的“漏洞”中，用户的手机首先安装了恶意软件，其攻击环境和条件极高，这在现实生活中几乎是不可能的。支付宝系统每天实时扫描数亿笔交易，在保护个人隐私的同时，检测账户行为和交易环境的风险。三星pay表示，该支付系统已经过严格测试，密切关注相关报道，并了解该事件，但认为成功窃取账户支付代码的可能性极低。(综合标题日报)

来源：罗马观察报