Samsung Pay – vulnerabilitatea care permite furtul de bani

Samsung Pay – vulnerabilitatea care permite furtul de bani

Samsung Pay este un sistem de plati mobile dezvoltat de catre compania Samsung ca raspuns la Apple Pay, lansat de catre Apple cu aproape un an inaintea platformei coreenilor, insa din pacate graba de a aduce acest sistem pe piata vine cu o problema majora de securitate care poate lasa utilizatorii fara bani.

Mai exact, Samsung Pay are o vulnerabilitate in sistemul de tokenizare a tranzactiilor, aceasta permitandu-le hackerilor sa prezica modul in care ele urmeaza sa fie generate de catre platforma si sa se foloseasca de ele in alte terminale pentru a genera tranzactii frauduloase si a fura banii utilizatorilor.

Samsung Pay, ca si Apple Pay, foloseste token-uri pentru a securiza si anonimiza tranzactiile facute folosind terminalele mobile, insa din pacate acest sistem este gandit prost, astfel ca hackerii il pot exploata pentru a fura banii utilizatorilor fara ca acestia sa isi dea seama ce se intampla pana cand isi verifica tranzactiile bancare.

Samsung Pay permite furtul de bani

Practic, Samsung pay genereaza un token la prima folosire a unei carti de credit pentru a face o plata mobila, iar desi acel token este greu de ghicit, urmatoarele pe care le genereaza sistemul sunt mult mai usor de prezis, iar hackerii pot face singuri asta pentru a se folosi de ele in ideea de a face tranzactii frauduloase.

Salvador Mendoza found that the tokenization process is limited and the sequencing of the tokens can be predicted. …┬áhe explained that the tokenization process gets weaker after the app generates the first token from a specific card, meaning that there’s a greater chance that future tokens could be predicted.┬áThose tokens can be stolen and used in other hardware to make fraudulent transactions — effectively a new form of card skimming — without restrictions.

Pentru ca hack-ul sa poata fi realizat, cercetatorul de securitate care a descoperit vulnerabilitatea si a demonstrat-o, a produs un gadget capabil sa fure token-urile de plati in momentul in care acestea sunt facute, procedura in sine nefiind chiar atat de complicata precum pare la o prima vedere.

Mendoza built a contraption that straps to his forearm and wirelessly steals magnetic secure transmission (known as an MST) when he picks up someone’s phone, which can then email the token to his inbox, so he can compile it into another phone. Or, you can hide that hardware to a legitimate card-reading machine like you would with a traditional card skimmer.

Din pacate pentru utilizatori, problema nu poate fi rezolvata decat de catre compania Samsung prin actualizarea Samsung Pay, iar in cazul in care un token a fost furat de catre un hacker, doar stergerea cardului din sistemul Samsung Pay poate rezolva problema.

REVOLUTIA PRETURILOR EMAG! CELE MAI BUNE REDUCERI
  • Srb Srb

    Samsung! Nimeni nu are pretentii de la aceasta companie

  • V.P

    Cand au spart aia conturile Apple Cloud cum a fost ?? Tot asa ai avut pretentii .

  • Ionut

    O problema mare pentru cei ce folosesc acest tip de plata. Ca sa fiu sincer, nu am incredere nici in apple si de asta nu folosesc apple pay. Exact asa cum zice si VP, nici ei nu sunt zei si au gresit la randul lor iar un exemplu ar fi bresa de securitate prin care se instala jailbreak si apoi aia au inceput sa le fure bani la ultilizatori…… stii cum e..nu conteaza sursa atat timp cat sistemul e clar ca nu e perfect. si ori de cate ori se va putea instala jailbreak va fi doar un exemplu ca sistemul nu e perfect.

  • Ideea e alta, nici cu jailbreak nu se intampla asta la Apple. Daca un hacker iti face jailbreak, nu poate sa iti fure banii prin token-uri, sau exploatand Apple Pay.
    Este exact situatia amprentelor, datele sunt securizate in acea enclava din chip-ul AXX, iar alea nu le-a spart nimeni inca.

  • Srb Srb

    Nu au avut ce face cu cloud. Aici poti ramane fara niciun ban deci o problema muult mai grava!

  • Srb Srb

    Corect!!

  • Ionut

    https://www.idevice.ro/2016/07/31/conturi-facebook-paypal-sau-bancare-compromise-dupa-ios-9-3-3-jailbreak/

    Nici macar nu conteaza metoda cum se fura; gandeste-te ca dezvoltatorul de jailbreak ar putea activeze o plata de 1 euro la 3 luni si tu nici macar nu ai sesiza si la cati oameni vor sa fie “liberi”….nici macar nu pot sa imi inchipui cati bani ar putea aduna fara sa se afle nimic.. Deci, eu chiar ma bucur de fiecare data cand apare jailbreak ca sa imi arate cat de (im)perfect este sistemul si ma face sa fiu mai precaut.

  • V.P

    Poti ramane , ca nu am auzit pe nimeni sa ramana fara bani .

  • Srb Srb

    Pai abia ce a aparut bresa