Samsung Pay är en mobilbetalningssystem utvecklat av företaget Samsung som svar på Apple Pay, som lanserades av Apple nästan ett år före den koreanska plattformen, men tyvärr kommer brådskan att ta ut detta system på marknaden med ett stort säkerhetsproblem som kan lämna användare utan pengar.
Mer specifikt Samsung Pay har en sårbarhet i transaktionstokeniseringssystemet, vilket gör att hackare kan förutsäga hur de kommer att genereras av plattformen och använda dem i andra terminaler för att generera bedrägliga transaktioner och stjäla användares pengar.
Samsung Pay, liksom Apple Pay, använder tokens för att säkra och anonymisera transaktioner som görs med mobila terminaler, men tyvärr är detta system dåligt genomtänkt, så hackare kan utnyttja det för att stjäla användares pengar utan att de inser vad som händer förrän han kontrollerar sina banktransaktioner.
Samsung Pay tillåter att pengar stjäls
I grund och botten genererar Samsung pay en token första gången ett kreditkort används för att göra en mobilbetalning, och även om den token är svår att gissa, är de nästa som genereras av systemet mycket lättare att förutse, och hackare kan göra det själva för att använda dem för att göra bedrägliga transaktioner.
Salvador Mendoza fann att tokeniseringsprocessen är begränsad och sekvenseringen av tokens kan förutsägas. ... han förklarade att tokeniseringsprocessen blir svagare efter att appen genererar den första token från ett specifikt kort, vilket betyder att det finns en större chans att framtida tokens kan förutsägas. Dessa tokens kan stjälas och användas i annan hårdvara för att göra bedrägliga transaktioner – i praktiken en ny form av kortskimning – utan begränsningar.
För att hacket skulle kunna genomföras producerade säkerhetsforskaren som upptäckte sårbarheten och demonstrerade den en gadget som kan stjäla betalningstoken i det ögonblick de görs, och själva proceduren är inte så komplicerad som den verkar vid första anblicken .
Mendoza byggde en grej som fästs vid hans underarm och trådlöst stjäl magnetisk säker överföring (känd som en MST) när han tar upp någons telefon, som sedan kan e-posta token till hans inkorg, så att han kan kompilera den till en annan telefon. Eller så kan du gömma den hårdvaran till en legitim kortläsmaskin som du skulle göra med en traditionell kortskimmer.
Tyvärr för användarna kan problemet bara lösas av Samsung-företaget genom att uppdatera Samsung Pay, och om en token har stulits av en hackare, kan bara ta bort kortet från Samsung Pay-systemet lösa problemet.
