Samsung płatna jest system płatności mobilnych opracowany przez firmę Samsung w odpowiedzi na Apple Pay, uruchomiony przez Apple prawie rok przed platformą koreańską, ale niestety pośpiech z wprowadzeniem tego systemu na rynek wiąże się z poważnym problemem bezpieczeństwa, który może pozostawić użytkowników bez pieniędzy.
Dokładniej, Samsung płatna ma lukę w systemie tokenizacji transakcji, pozwalającą hakerom przewidzieć, w jaki sposób zostaną wygenerowane przez platformę i wykorzystać je w innych terminalach do generowania oszukańczych transakcji i kradzieży pieniędzy użytkowników.
Samsung płatna, podobnie jak Apple Pay, używa tokenów do zabezpieczania i anonimizowania transakcji dokonywanych za pomocą terminali mobilnych, ale niestety ten system jest słabo przemyślany, więc hakerzy mogą go wykorzystać do kradzieży pieniędzy użytkowników, nie zdając sobie sprawy z tego, co się dzieje, dopóki nie sprawdzi swoich transakcji bankowych.
Samsung Pay umożliwia kradzież pieniędzy
Zasadniczo Samsung pay generuje token przy pierwszym użyciu karty kredytowej do dokonania płatności mobilnej i chociaż ten token jest trudny do odgadnięcia, kolejne generowane przez system są znacznie łatwiejsze do przewidzenia, a hakerzy mogą to zrobić sami, aby użyć ich w celu dokonania oszukańczych transakcji.
Salvador Mendoza odkrył, że proces tokenizacji jest ograniczony i można przewidzieć kolejność tokenów. ... wyjaśnił, że proces tokenizacji słabnie, gdy aplikacja wygeneruje pierwszy token z konkretnej karty, co oznacza, że jest większa szansa, że uda się przewidzieć przyszłe tokeny. Tokeny te można ukraść i wykorzystać w innym sprzęcie w celu dokonywania nieuczciwych transakcji – co stanowi nową formę skimmingu kart – bez ograniczeń.
W celu przeprowadzenia włamania badacz bezpieczeństwa, który odkrył lukę i ją zademonstrował, stworzył gadżet zdolny do kradzieży tokenów płatniczych w momencie ich wykonania, przy czym sama procedura nie jest tak skomplikowana, jak się wydaje na pierwszy rzut oka .
Mendoza zbudował urządzenie, które przyczepia się do jego przedramienia i bezprzewodowo kradnie bezpieczną transmisję magnetyczną (znaną jako MST), gdy podnosi czyjś telefon, który następnie może przesłać e-mailem token do jego skrzynki odbiorczej, aby mógł skompilować go do innego telefonu. Możesz też ukryć ten sprzęt przed legalną maszyną do odczytu kart, tak jak w przypadku tradycyjnego skimmera kart.
Niestety dla użytkowników, problem może rozwiązać tylko firma Samsung poprzez aktualizację Samsung Pay, a jeśli token został skradziony przez hakera, tylko usunięcie karty z systemu Samsung Pay może rozwiązać problem.