Luka w Samsung Pay umożliwia zdalną kradzież pieniędzy

Samsung agresywnie promujący swą usługę mobilnych płatności Samsung Pay, ma z nią poważny problem. Ujawniona właśnie luka pozwala hakerom przejąć zdalnie naszą kartę kredytową.

Systemy mobilnych płatności takie jak Apple Pay, czy Samsung Pay mają nam ułatwić życie umożliwiając płacenie za zakupy bez konieczności wyciągania portfela z kieszeni. Niestety mogą nas też pozbawić gotówki.

Specjalista ds. cyberbezpieczeństwa odkrył w Samsung Pay groźną lukę, która umożliwia hakerom zdalne przejęcie naszej karty kredytowej. Teoretycznie usługa ma system, który zabezpiecza transakcje zmieniając numer karty w token, dzięki temu nie może on zostać wykradziony z urządzenia. Salvador Mendoza odkrył jednak, że wspomniany token nie jest tak zabezpieczony jak można by sądzić i swym odkryciem podzielił się podczas konferencji Black Hat.

Programista ujawnił, że proces tokenizacji jest ograniczony ilością sekwencji, które token może przewidzieć. Wyjaśnił, że każdorazowa zmiana numery karty na token osłabia system, zwiększając szansę na odgadnięcie kolejnych tokenów. Haker, który wie jak to zrobić, może go wykraść i używać do wykonywania nieautoryzowanych transakcji.

Wbrew pozorom nie jest to tylko teoria, ponieważ Mendoza przetestował swe odkrycie, wysyłając do przyjaciela w Meksyku token, który przy pomocy specjalnego sprzętu dokonał kilku zakupów przy pomocy Samsung Pay, płacąc za nie otrzymaną kartą. Co ciekawe, udało mu się to nawet pomimo faktu, że mobilny system Samsunga nie działa jeszcze oficjalnie w Meksyku.

Samsung oficjalnie nie podjął żadnych działać, ale można założyć, że jak najszybciej zechce rozwiązać problem. Gdy bowiem rozniesie się, że Samsung Pay nie jest systemem bezpiecznym, firma nieźle na tym straci.

Źródło: Zdnet.com