Odkryto kolejną lukę w Samsung Pay

Mobilny system płatności Samsung Pay nie jest tak bezpieczny jak można by sądzić. Specjalista ds. bezpieczeństwa Salvador Mendoza odkrył w nim bowiem kolejną, bardzo groźną lukę mogącą prowadzić do utraty pieniędzy.

Samsung Pay jest obecnie jednym z najlepszych i najbardziej funkcjonalnych systemów mobilnych płatności, ze wszystkich dostępnych na rynku. Nie można jednak powiedzieć, że jest bezpieczny.



Kilka miesięcy temu Salvador Mendoza, specjalista ds. bezpieczeństwa odkrył w nim bardzo groźną lukę, umożliwiającą hakerom zdalną kradzież karty kredytowej użytkownika. Samsung zapewnił wówczas, że użytkownicy są całkowicie bezpieczni i zaprezentował dokumenty objaśniające w jaki sposób działa proces tokenizacji oraz inne systemy zabezpieczeń.

Mendoza jednak się nie poddaje i odkrył kolejną lukę, którą zaprezentuje w przyszłym tygodniu podczas konferencji Ekoparty poświęconej kwestiom bezpieczeństwa, która odbędzie się w Argentynie. Pierwsza z odkrytych przez niego luk dotyczy systemu MST umożliwiającego korzystanie z Samsung Pay również na terminalach obsługujących karty z paskiem magnetycznym, natomiast druga związana jest z systemem NFC.

Ekspert twierdzi, że jedyne co haker musi zrobić, by ukraść kartę kredytową klienta, to stanąć w pobliżu terminala ze smartfonem, na którym uruchomiona jest aplikacja przechwytująca. Przechwyci ona transmisję NFC i ukradnie token autoryzujący transakcję po tym jak klient zatwierdzi ją PIN’em lub odciskiem palca, a następuje to tuż przed realizacją samej płatności. Klient dostanie wówczas informację o błędzie, więc spróbuje przeprowadzić ją ponownie. To wygeneruje drugi token, zaś pierwszy będzie ważny przez 24 godziny.

Haker teoretycznie może użyć skradzionego hakera w dowolnym miejscu na świecie, wykorzystując go do płatności. Mendoza przetestował lukę w lokalnym sklepie spożywczym, więc ma pewność, że działa. Potwierdził też, że Samsung został poinformowany o dziurze w systemie zabezpieczeń usług, ale skoro firma nie komentuje całej sprawy, to nie wiadomo, czy pracuje nad łatką.

Źródło: Csoonline.com

You may also like...