中大信息工程學院就流動支付系統保安提出問題,指出內地支付寶常用的QR Code,有機會被不法之徒盜取身份認證的支付令牌(Payment Token),令用家蒙受金錢損失。支付寶作出聲明,回應指研究中的「漏洞」,是用戶安裝惡意應用程式後才會發生,而且其攻擊環境和條件要求都極高,在實際生活中幾乎不具有可行性。
現時用QR碼付款成為潮流 (資料圖片)
領導研究團隊的中大信息工程學系教授張克環指,QR Code(二維碼)屬單向式溝通的付款方式,一旦交易失敗,商戶收銀機無法通知手機用戶,已產生的支付令牌亦無法收回,讓不法份子有機可乘。
支付寶指,有一整套的智能實時系統(CTU)來保障用戶的賬戶安全 (資料圖片)
支付寶母企螞蟻金服表示,研究報告中提到的用戶付款過程中產生的支付令牌是一次性的,並在極短時間內失效,而且所指的「漏洞」,是要先在用戶手機裝上「惡意應用程式」。螞蟻金服表示,支付寶有一整套的智能實時系統(CTU)來保障用戶的賬戶安全,每天上億筆交易實時掃描進行風險檢測,強調支付寶的交易資損率不到百萬分之一,遠低於國際領先支付機構千分之二的風險水平。
