中大的研究發現，現時以QR Code及磁帶讀卡器驗證功能，作流動支付交易時出現保安漏洞，不法份子可從中盜取用家交易的資料。

中大信息工程學系教授張克環表示，今次發現的流動支付系統保安漏洞，涉及二維碼（QR Code），以及三星專屬「Samsung Pay」的流動支付系統，即磁帶讀卡器驗證功能（MST）。有關研究成果，已在上月舉行的國際頂級網絡安全學術會議上發表。

張克環指，不法份子可透過惡意程式控制手機前置鏡頭，當用家以手機鏡頭對QR code進行掃描時，不法份子可偷拍付款時顯示的QR code倒影，之後就可以盜取金錢。至於Samsung Pay的磁帶讀卡器驗證功能，張克環表示，官方宣稱系統的傳送範圍為7.5厘米，但研究團體發現有關系統的實際傳送範圍達2至4米遠，不法份子可在2米外接收到交易訊號，繼而盜取用家的交易資料。

張克環指研究團隊已將有關保安漏洞，通知支付寶及三星，前者表示已停用「付款QR Code線上轉帳功能」，而三星則回應指已知悉問題。他建議巿民，要避免下載不明來歷的手機應用程式。