暗網潛航——安心出行與電子支付
龐博文
2021-03-15 04:16 HKT
字體大小
有報道指,有「安心出行」的QR Code被掉包,引致掃描時候手機會自動跳出「電子支付程式」,令人非常憂慮。一些自稱專家更聲言,這種危機會伸延至以QR Code使用的「電子支付」也有高風險情況。筆者作為一個曾經拆解「安心出行」程式機制的訊息安全專家,跟大家分享一下我的看法。
首先,「安心出行」所使用的QR Code,是由政府後台伺服器所生成的動態QR Code,當使用「安心出行」程式進行掃描便會開始由後台伺服器進行驗證以辨別真偽,所以如果QR Code被掉包連接至「電子支付」,一定會跳出錯誤訊息。如果被掉包成功,可能是被掉包的QR Code是政府以外的後台伺服器所生成的偽動態QR Code。至於「安心出行」App成功接受原因,是因為用家沒有使用GPS驗證地點位置。
為甚麼掃描QR Code會彈出「電子支付」程式呢?唯一可能性是用家使用手機鏡頭直接在瀏覽器內進行掃描,而非使用「安心出行」程式,而且掉包上去的是一個真實支付QR Code。因此掉換「安心出行」QR code,基本上不會影響「電子支付」程式。
此外,如果掉包的真是一個支付QR Code,使用者按鍵付錢便真的付錢。但所有「電子支付」在起動帳號時,已經限制使用額或已進行實名登記,這全都是可以追查。如果有人用這個方法來詐騙,基本上不能逃避法律責任。
QR Code作為電子支付媒介已有一段時間,在早期的確有人以掉包或偽造支付QR Code作為欺騙手段。但隨着電子支付國際行業安全基準組織作出技術和指引改進,並在世界各地由有授予牌照的訊息安全專家和監管機構負責進行檢測、審計、監管和偵查。正因為支付閘道的後台伺服器會作出驗證,所以支付QR Code是難以偽造,大家可安心使用。
TOZ聯合創辦人
龐博文
首先,「安心出行」所使用的QR Code,是由政府後台伺服器所生成的動態QR Code,當使用「安心出行」程式進行掃描便會開始由後台伺服器進行驗證以辨別真偽,所以如果QR Code被掉包連接至「電子支付」,一定會跳出錯誤訊息。如果被掉包成功,可能是被掉包的QR Code是政府以外的後台伺服器所生成的偽動態QR Code。至於「安心出行」App成功接受原因,是因為用家沒有使用GPS驗證地點位置。
為甚麼掃描QR Code會彈出「電子支付」程式呢?唯一可能性是用家使用手機鏡頭直接在瀏覽器內進行掃描,而非使用「安心出行」程式,而且掉包上去的是一個真實支付QR Code。因此掉換「安心出行」QR code,基本上不會影響「電子支付」程式。
此外,如果掉包的真是一個支付QR Code,使用者按鍵付錢便真的付錢。但所有「電子支付」在起動帳號時,已經限制使用額或已進行實名登記,這全都是可以追查。如果有人用這個方法來詐騙,基本上不能逃避法律責任。
QR Code作為電子支付媒介已有一段時間,在早期的確有人以掉包或偽造支付QR Code作為欺騙手段。但隨着電子支付國際行業安全基準組織作出技術和指引改進,並在世界各地由有授予牌照的訊息安全專家和監管機構負責進行檢測、審計、監管和偵查。正因為支付閘道的後台伺服器會作出驗證,所以支付QR Code是難以偽造,大家可安心使用。
TOZ聯合創辦人
龐博文
最Hit
的士司機急尋一家三口致謝 獲贈「咁多」小費渡人生低潮 網民眼濕濕:保留住先當護身符|Juicy叮
2025-06-08 15:09 HKT
黎燕珊大女結婚丨劉永做外父缺席婚宴原因成謎 餅印胞姊代出席 身份大有來頭
2025-06-08 17:00 HKT
$1200萬六合彩買中6個字 事主揭一原因變空寶:勁唔抵!|Juicy叮
2025-06-08 17:44 HKT
朱玲玲孻仔霍啟仁訂婚宴疑曝光 泰國未婚妻打扮簡約貴氣 前TVB富貴小花原來係閨密
2025-06-08 18:00 HKT
更多文章