Samsung Bezahlen ein mobiles Zahlungssystem, das von der Firma Samsung entwickelt wurde als Reaktion auf Apple Pay, das von Apple fast ein Jahr vor der koreanischen Plattform eingeführt wurde, aber leider geht die Eile, dieses System auf den Markt zu bringen, mit einem großen Sicherheitsproblem einher, das dazu führen kann, dass Benutzer kein Geld mehr haben.
Insbesondere Samsung Bezahlen weist eine Schwachstelle im Transaktionstokenisierungssystem auf, die es Hackern ermöglicht, vorherzusagen, wie sie von der Plattform generiert werden, und sie in anderen Terminals zu verwenden, um betrügerische Transaktionen zu generieren und das Geld der Benutzer zu stehlen.
Samsung Bezahlen, wie Apple Pay, verwendet Token, um über mobile Endgeräte getätigte Transaktionen zu sichern und zu anonymisieren, aber leider ist dieses System schlecht durchdacht, sodass Hacker es ausnutzen können, um das Geld der Benutzer zu stehlen, ohne dass diese merken, was passiert, bis er seine Banktransaktionen überprüft.
Mit Samsung Pay kann Geld gestohlen werden
Grundsätzlich generiert Samsung Pay einen Token, wenn zum ersten Mal eine Kreditkarte für eine mobile Zahlung verwendet wird, und obwohl dieser Token schwer zu erraten ist, sind die nächsten vom System generierten Token viel einfacher vorherzusagen, und Hacker können dies selbst tun Verwenden Sie sie, um betrügerische Transaktionen durchzuführen.
Salvador Mendoza stellte fest, dass der Tokenisierungsprozess begrenzt ist und die Reihenfolge der Token vorhersehbar ist. ... er erklärte, dass der Tokenisierungsprozess schwächer wird, nachdem die App den ersten Token von einer bestimmten Karte generiert hat, was bedeutet, dass die Wahrscheinlichkeit größer ist, dass zukünftige Token vorhergesagt werden können. Diese Token können ohne Einschränkungen gestohlen und in anderer Hardware für betrügerische Transaktionen verwendet werden – praktisch eine neue Form des Karten-Skimmings.
Um den Hack durchführen zu können, hat der Sicherheitsforscher, der die Schwachstelle entdeckt und aufgezeigt hat, ein Gerät entwickelt, das in der Lage ist, die Zahlungstoken im Moment ihrer Herstellung zu stehlen, wobei der Vorgang selbst gar nicht so kompliziert ist, wie es auf den ersten Blick scheint .
Mendoza baute ein Gerät, das er sich an den Unterarm schnallte und drahtlos die magnetische sichere Übertragung (bekannt als MST) stiehlt, wenn er das Telefon einer anderen Person in die Hand nimmt, die dann den Token per E-Mail an seinen Posteingang senden kann, damit er ihn in einem anderen Telefon kompilieren kann. Oder Sie können diese Hardware in einem legitimen Kartenlesegerät verstecken, wie Sie es bei einem herkömmlichen Karten-Skimmer tun würden.
Unglücklicherweise für die Benutzer kann das Problem nur durch die Samsung-Firma durch ein Update von Samsung Pay gelöst werden, und wenn ein Token von einem Hacker gestohlen wurde, kann das Problem nur durch das Löschen der Karte aus dem Samsung Pay-System gelöst werden.
