Samsung Pay è un sistema di pagamento mobile sviluppato dalla società Samsung in risposta ad Apple Pay, lanciato da Apple quasi un anno prima della piattaforma coreana, ma purtroppo la fretta di portare questo sistema sul mercato comporta un grosso problema di sicurezza che può lasciare gli utenti senza soldi.
specificamente, Samsung Pay ha una vulnerabilità nel sistema di tokenizzazione delle transazioni, che consente agli hacker di prevedere come verranno generate dalla piattaforma e utilizzarle in altri terminali per generare transazioni fraudolente e rubare il denaro degli utenti.
Samsung Pay, come Apple Pay, utilizza i token per proteggere e rendere anonime le transazioni effettuate tramite terminali mobili, ma sfortunatamente questo sistema è mal concepito, quindi gli hacker possono sfruttarlo per rubare i soldi degli utenti senza che questi se ne accorgano finché non controlla le sue transazioni bancarie.
Samsung Pay consente il furto di denaro
Fondamentalmente, Samsung Pay genera un token la prima volta che una carta di credito viene utilizzata per effettuare un pagamento mobile e, sebbene quel token sia difficile da indovinare, i successivi token generati dal sistema sono molto più facili da prevedere e gli hacker possono farlo da soli. utilizzarli per effettuare transazioni fraudolente.
Salvador Mendoza ha scoperto che il processo di tokenizzazione è limitato e la sequenza dei token può essere prevista. ... ha spiegato che il processo di tokenizzazione si indebolisce dopo che l'app ha generato il primo token da una carta specifica, il che significa che c'è una maggiore possibilità che si possano prevedere i token futuri. Questi token possono essere rubati e utilizzati in altri hardware per effettuare transazioni fraudolente – di fatto una nuova forma di scrematura delle carte – senza restrizioni.
Affinché l'hacking potesse essere eseguito, il ricercatore di sicurezza che ha scoperto la vulnerabilità e l'ha dimostrata, ha prodotto un gadget in grado di rubare i token di pagamento nel momento in cui vengono effettuati, la procedura in sé non è così complicata come sembra a prima vista .
Mendoza ha costruito un aggeggio che si aggancia al suo avambraccio e ruba in modalità wireless la trasmissione magnetica sicura (nota come MST) quando prende il telefono di qualcuno, che può quindi inviare il token via email alla sua casella di posta, così da poterlo compilare in un altro telefono. Oppure puoi nascondere l'hardware a una macchina legittima per la lettura di carte come faresti con uno skimmer di carte tradizionale.
Sfortunatamente per gli utenti, il problema può essere risolto solo dall'azienda Samsung aggiornando Samsung Pay, e se un token è stato rubato da un hacker, solo cancellando la carta dal sistema Samsung Pay si può risolvere il problema.
