Samsung Pay est un système de paiement mobile développé par la société Samsung en réponse à Apple Pay, lancé par Apple près d'un an avant la plateforme coréenne, mais malheureusement, la précipitation pour mettre ce système sur le marché s'accompagne d'un problème de sécurité majeur qui peut laisser les utilisateurs sans argent.
Plus spécifiquement, Samsung Pay présente une vulnérabilité dans le système de tokenisation des transactions, permettant aux pirates de prédire comment elles seront générées par la plateforme et de les utiliser dans d'autres terminaux pour générer des transactions frauduleuses et voler l'argent des utilisateurs.
Samsung Pay, comme Apple Pay, utilise des jetons pour sécuriser et anonymiser les transactions effectuées à l'aide de terminaux mobiles, mais malheureusement ce système est mal pensé, de sorte que les pirates peuvent l'exploiter pour voler l'argent des utilisateurs sans qu'ils se rendent compte de ce qui se passe jusqu'à ce qu'il vérifie ses transactions bancaires.
Samsung Pay permet de voler de l'argent
Fondamentalement, Samsung Pay génère un jeton la première fois qu'une carte de crédit est utilisée pour effectuer un paiement mobile, et bien que ce jeton soit difficile à deviner, les prochains générés par le système sont beaucoup plus faciles à prédire, et les pirates peuvent le faire eux-mêmes. les utiliser pour effectuer des transactions frauduleuses.
Salvador Mendoza a constaté que le processus de tokenisation est limité et que le séquençage des jetons peut être prédit. ... il a expliqué que le processus de tokenisation s'affaiblit une fois que l'application a généré le premier token à partir d'une carte spécifique, ce qui signifie qu'il y a plus de chances que les futurs tokens puissent être prédits. Ces jetons peuvent être volés et utilisés sur d’autres matériels pour effectuer des transactions frauduleuses – en fait une nouvelle forme d’écrémage de carte – sans restrictions.
Pour que le piratage puisse être réalisé, le chercheur en sécurité qui a découvert et démontré la vulnérabilité a produit un gadget capable de voler les jetons de paiement au moment où ils sont effectués, la procédure elle-même n'étant pas si compliquée qu'il y paraît à première vue. .
Mendoza a construit un engin qui s'attache à son avant-bras et vole sans fil la transmission magnétique sécurisée (connue sous le nom de MST) lorsqu'il décroche le téléphone de quelqu'un, qui peut ensuite envoyer le jeton par courrier électronique dans sa boîte de réception, afin qu'il puisse le compiler dans un autre téléphone. Vous pouvez également cacher ce matériel sur un lecteur de carte légitime, comme vous le feriez avec un écumeur de carte traditionnel.
Malheureusement pour les utilisateurs, le problème ne peut être résolu que par la société Samsung en mettant à jour Samsung Pay, et si un jeton a été volé par un pirate informatique, seule la suppression de la carte du système Samsung Pay peut résoudre le problème.
