Samsung Pay een mobiel betalingssysteem ontwikkeld door het bedrijf Samsung als reactie op Apple Pay, gelanceerd door Apple bijna een jaar vóór het Koreaanse platform, maar helaas gaat de haast om dit systeem op de markt te brengen gepaard met een groot beveiligingsprobleem waardoor gebruikers zonder geld kunnen komen te zitten.
Meer specifiek, Samsung Pay heeft een kwetsbaarheid in het transactietokenisatiesysteem, waardoor hackers kunnen voorspellen hoe ze door het platform worden gegenereerd en deze in andere terminals kunnen gebruiken om frauduleuze transacties te genereren en het geld van gebruikers te stelen.
Samsung Pay, net als Apple Pay, gebruikt tokens om transacties die via mobiele terminals worden gedaan te beveiligen en te anonimiseren, maar helaas is dit systeem slecht doordacht, zodat hackers het kunnen misbruiken om het geld van gebruikers te stelen zonder dat ze zich realiseren wat er gebeurt totdat hij zijn banktransacties controleert.
Met Samsung Pay kan geld worden gestolen
Kortom, Samsung Pay genereert een token de eerste keer dat een creditcard wordt gebruikt om een mobiele betaling uit te voeren, en hoewel dat token moeilijk te raden is, zijn de volgende door het systeem gegenereerde token veel gemakkelijker te voorspellen, en hackers kunnen dit zelf doen. ze gebruiken om frauduleuze transacties uit te voeren.
Salvador Mendoza ontdekte dat het tokenisatieproces beperkt is en dat de volgorde van de tokens kan worden voorspeld. ... hij legde uit dat het tokenisatieproces zwakker wordt nadat de app het eerste token van een specifieke kaart genereert, wat betekent dat er een grotere kans is dat toekomstige tokens kunnen worden voorspeld. Deze tokens kunnen zonder beperkingen worden gestolen en in andere hardware worden gebruikt om frauduleuze transacties uit te voeren – in feite een nieuwe vorm van kaartskimming.
Om de hack uit te kunnen voeren, heeft de beveiligingsonderzoeker die de kwetsbaarheid heeft ontdekt en gedemonstreerd, een gadget geproduceerd dat in staat is de betaalmunten te stelen op het moment dat ze worden gemaakt. De procedure zelf is niet zo ingewikkeld als het op het eerste gezicht lijkt. .
Mendoza heeft een apparaat gebouwd dat aan zijn onderarm wordt vastgemaakt en draadloos magnetische beveiligde transmissie steelt (ook wel MST genoemd) wanneer hij iemands telefoon oppakt, dat het token vervolgens naar zijn inbox kan e-mailen, zodat hij het in een andere telefoon kan compileren. Of u kunt die hardware verbergen voor een legitieme kaartleesmachine, zoals u zou doen met een traditionele kaartskimmer.
Helaas voor gebruikers kan het probleem alleen worden opgelost door het bedrijf Samsung door Samsung Pay bij te werken, en als een token door een hacker is gestolen, kan alleen het verwijderen van de kaart uit het Samsung Pay-systeem het probleem oplossen.
