Samsung Pay on Samsungin kehittämä mobiilimaksujärjestelmä vastauksena Apple Payhin, jonka Apple julkaisi melkein vuosi ennen korealaista alustaa, mutta valitettavasti kiire tuoda tämä järjestelmä markkinoille liittyy suureen tietoturvaongelmaan, joka voi jättää käyttäjät ilman rahaa.
Tarkemmin sanottuna Samsung Pay on haavoittuvuus tapahtumatokenisointijärjestelmässä, jonka avulla hakkerit voivat ennustaa, kuinka alusta tuottaa ne ja käyttää niitä muissa päätelaitteissa vilpillisten tapahtumien luomiseen ja käyttäjien rahan varastamiseen.
Samsung Pay, kuten Apple Pay, käyttää tunnuksia turvatakseen ja anonymisoidakseen mobiilipäätelaitteilla tehtyjä tapahtumia, mutta valitettavasti tämä järjestelmä on huonosti harkittu, joten hakkerit voivat hyödyntää sitä varastaakseen käyttäjien rahoja heidän ymmärtämättä mitä tapahtuu, ennen kuin hän tarkistaa pankkitapahtumansa.
Samsung Pay sallii rahan varastamisen
Periaatteessa Samsung pay luo tunnuksen, kun luottokorttia käytetään ensimmäisen kerran mobiilimaksamiseen, ja vaikka sitä on vaikea arvata, seuraavat järjestelmän luomat tunnukset on paljon helpompi ennustaa, ja hakkerit voivat tehdä sen itse käyttää niitä vilpillisten liiketoimien suorittamiseen.
Salvador Mendoza havaitsi, että tokenointiprosessi on rajoitettu ja rahakkeiden sekvensointi voidaan ennustaa. ... hän selitti, että tokenointiprosessi heikkenee sen jälkeen, kun sovellus luo ensimmäisen tunnuksen tietystä kortista, mikä tarkoittaa, että on suurempi mahdollisuus, että tulevat merkit voidaan ennustaa. Nämä rahakkeet voidaan varastaa ja käyttää muissa laitteissa vilpillisten tapahtumien tekemiseen – mikä on käytännössä uusi korttien luvaton muoto – ilman rajoituksia.
Jotta hakkerointi voitaisiin toteuttaa, haavoittuvuuden löytänyt ja sen osoittanut tietoturvatutkija valmisti gadgetin, joka pystyi varastamaan maksutunnukset niiden tekohetkellä, eikä itse menettely ole niin monimutkainen kuin miltä ensi silmäyksellä näyttää. .
Mendoza rakensi välineen, joka kiinnittyy hänen kyynärvarteensa ja varastaa langattomasti magneettisen suojatun lähetyksen (tunnetaan nimellä MST), kun hän ottaa jonkun puhelimen, joka voi sitten lähettää tunnuksen sähköpostilla hänen postilaatikkoonsa, jotta hän voi kääntää sen toiseen puhelimeen. Tai voit piilottaa kyseisen laitteiston lailliselle kortinlukukoneelle, kuten tekisit perinteisellä kortinlukijalla.
Valitettavasti käyttäjien kannalta ongelman voi ratkaista vain Samsung-yritys päivittämällä Samsung Payn, ja jos hakkeri on varastanut tunnuksen, vain kortin poistaminen Samsung Pay -järjestelmästä voi ratkaista ongelman.
