курс цб на 24.09:
57.6527
69.0737

Samsung отрицает возможность взлома Samsung Pay в процессе токенизации

11 августа 2016 10:24 Количество просмотров159 просмотров

На веб-сайте Samsung сообщается: «Обеспечение безопасности платежной информации является главным приоритетом для Samsung Pay, поэтому разработчики сервиса предусмотрели наличие высокотехнологичных элементов безопасности. Важно отметить, что Samsung Pay не использует описанный в презентации Black Hat алгоритм для шифрования платежных данных и генерации криптограмм. Сервис Samsung Pay считается более безопасным, чем платежные карты, поскольку он передает подавляющему большинству ТСП, которые еще не имеют EMV-сертифицированных терминалов (для платежей с использованием смарт-карт) данные одноразового использования. Благодаря Samsung Pay, пользователям не приходится вставлять в терминал карты со статической магнитной полосой».

В ходе недавней конференции по безопасности Black Hat в Лас-Вегасе аналитик по вопросам безопасности Сальвадор Мендоса (Salvador Mendoza) продемонстрировал уязвимости процесса токенизации Samsung Pay, позволяющие хакеру определить номер карты покупателя. В процессе токенизации генерируется строка случайных чисел и букв, используемых, чтобы скрыть платежные реквизиты, которые могут быть использованы злоумышленниками. Исследователь говорит, что, при добавлении номеров кредитных и дебетовых карт в Samsung Pay, когда генерируется конкретный токен, злоумышленникам легче вычислить следующие токены. Аналитик по вопросам безопасности не смог объяснить, почему это происходит.

Согласно отчету, это происходит с Samsung Pay во время транзакций по его технологии магнитно-безопасной передачи, которая используется смартфонами Galaxy, а также позволяет клиентам осуществлять оплату посредством Samsung Pay, даже если в ТСП имеется старый кассовый аппарат. При совершении покупки с помощью Samsung Pay установленный в телефоне чип посылает сигнал, аналогично тому, как это имеет место в случае магнитной полосы кредитной или дебетовой карты. Это удобно для покупателей, но дает хакерам возможность перехватить токен, который затем может быть использован, чтобы определить токены последующих транзакций. В то время как такой недостаток существует, захват этого первого токена не такое простое дело, и по признанию Мендосы, требует наличия у хакера специального оборудования, которое может путем спуфинга получить доступ к телефону пользователя. Тем не менее, Мендоса подчеркнул, что это возможно, и подтвердил свои слова, продемонстрировав прототип с открытым исходным кодом, который достаточно мал, чтобы его скрыть, но вполне может выполнить эту задачу. Мендоса сказал даже, что процесс скимминга можно автоматизировать.
По материалам Pymnts, PLUSworld.ru



В рубриках:
Digital banking
Лента новостей
Digital banking
Регуляторы ЦБ объявил о начале санации Бинбанка
21 сентября 2017 13:29
Количество просмотров 217 просмотров
Технологии iOS 11 будет доступна 19 сентября с 20:00 мск
19 сентября 2017 19:57
Количество просмотров 314 просмотров
Мероприятия Новые разработки на BIS Summit 2017
19 сентября 2017 12:01
Количество просмотров 200 просмотров
Мероприятия II CryptoBazar Pre-ICO Day в Москве
19 сентября 2017 11:01
Количество просмотров 178 просмотров
Банки и МФО Nordea уйдет с российского рынка?
19 сентября 2017 09:31
Количество просмотров 173 просмотра
Регуляторы ЦБ снизил ключевую ставку до 8,5%
15 сентября 2017 13:34
Количество просмотров 345 просмотров
Регуляторы Банкиры будут отвечать имуществом?
15 сентября 2017 10:51
Количество просмотров 217 просмотров
Банки и МФО Куда уходят VIP’ы?
14 сентября 2017 12:24
Количество просмотров 342 просмотра