Samsung Pay er en mobilbetalingssystem udviklet af Samsung-virksomheden som svar på Apple Pay, lanceret af Apple næsten et år før den koreanske platform, men desværre kommer hastværket med at bringe dette system på markedet med et stort sikkerhedsproblem, der kan efterlade brugere uden penge.
Mere specifikt Samsung Pay har en sårbarhed i transaktionstokeniseringssystemet, hvilket gør det muligt for hackere at forudsige, hvordan de vil blive genereret af platformen og bruge dem i andre terminaler til at generere svigagtige transaktioner og stjæle brugernes penge.
Samsung Pay, ligesom Apple Pay, bruger tokens til at sikre og anonymisere transaktioner foretaget ved hjælp af mobile terminaler, men desværre er dette system dårligt gennemtænkt, så hackere kan udnytte det til at stjæle brugernes penge, uden at de opdager, hvad der sker, der sker, indtil han tjekker sine banktransaktioner.
Samsung Pay tillader, at penge bliver stjålet
Grundlæggende genererer Samsung pay et token første gang et kreditkort bruges til at foretage en mobilbetaling, og selvom det token er svært at gætte, er de næste genereret af systemet meget nemmere at forudsige, og hackere kan selv gøre det for at bruge dem til at foretage svigagtige transaktioner.
Salvador Mendoza fandt ud af, at tokeniseringsprocessen er begrænset, og sekventeringen af tokens kan forudsiges. ... han forklarede, at tokeniseringsprocessen bliver svagere, efter at appen genererer det første token fra et specifikt kort, hvilket betyder, at der er en større chance for, at fremtidige tokens kan forudsiges. Disse tokens kan stjæles og bruges i anden hardware til at foretage svigagtige transaktioner - faktisk en ny form for kortskimming - uden begrænsninger.
For at hacket kunne udføres, producerede sikkerhedsforskeren, der opdagede sårbarheden og demonstrerede den, en gadget, der er i stand til at stjæle betalingsmærkerne i det øjeblik, de foretages, og selve proceduren er ikke så kompliceret, som den ser ud ved første øjekast .
Mendoza byggede en tingest, der spænder fast til hans underarm og trådløst stjæler magnetisk sikker transmission (kendt som en MST), når han tager en andens telefon, som derefter kan e-maile tokenet til hans indbakke, så han kan kompilere det til en anden telefon. Eller du kan skjule den hardware til en legitim kortlæsemaskine, som du ville gøre med en traditionel kortskimmer.
Desværre for brugerne kan problemet kun løses af Samsung-firmaet ved at opdatere Samsung Pay, og hvis en token er blevet stjålet af en hacker, kan det kun løse problemet at slette kortet fra Samsung Pay-systemet.
