Samsung Pay este un sistem de plati mobile dezvoltat de catre compania Samsung ca raspuns la Apple Pay, lansat de catre Apple cu aproape un an inaintea platformei coreenilor, insa din pacate graba de a aduce acest sistem pe piata vine cu o problema majora de securitate care poate lasa utilizatorii fara bani.
Mai exact, Samsung Pay are o vulnerabilitate in sistemul de tokenizare a tranzactiilor, aceasta permitandu-le hackerilor sa prezica modul in care ele urmeaza sa fie generate de catre platforma si sa se foloseasca de ele in alte terminale pentru a genera tranzactii frauduloase si a fura banii utilizatorilor.
Samsung Pay, ca si Apple Pay, foloseste token-uri pentru a securiza si anonimiza tranzactiile facute folosind terminalele mobile, insa din pacate acest sistem este gandit prost, astfel ca hackerii il pot exploata pentru a fura banii utilizatorilor fara ca acestia sa isi dea seama ce se intampla pana cand isi verifica tranzactiile bancare.
Samsung Pay permite furtul de bani
Practic, Samsung pay genereaza un token la prima folosire a unei carti de credit pentru a face o plata mobila, iar desi acel token este greu de ghicit, urmatoarele pe care le genereaza sistemul sunt mult mai usor de prezis, iar hackerii pot face singuri asta pentru a se folosi de ele in ideea de a face tranzactii frauduloase.
Salvador Mendoza found that the tokenization process is limited and the sequencing of the tokens can be predicted. … he explained that the tokenization process gets weaker after the app generates the first token from a specific card, meaning that there’s a greater chance that future tokens could be predicted. Those tokens can be stolen and used in other hardware to make fraudulent transactions — effectively a new form of card skimming — without restrictions.
Pentru ca hack-ul sa poata fi realizat, cercetatorul de securitate care a descoperit vulnerabilitatea si a demonstrat-o, a produs un gadget capabil sa fure token-urile de plati in momentul in care acestea sunt facute, procedura in sine nefiind chiar atat de complicata precum pare la o prima vedere.
Mendoza built a contraption that straps to his forearm and wirelessly steals magnetic secure transmission (known as an MST) when he picks up someone’s phone, which can then email the token to his inbox, so he can compile it into another phone. Or, you can hide that hardware to a legitimate card-reading machine like you would with a traditional card skimmer.
Din pacate pentru utilizatori, problema nu poate fi rezolvata decat de catre compania Samsung prin actualizarea Samsung Pay, iar in cazul in care un token a fost furat de catre un hacker, doar stergerea cardului din sistemul Samsung Pay poate rezolva problema.
