Samsung отрицает возможность взлома Samsung Pay в процессе токенизации

В ходе недавней конференции по безопасности Black Hat в Лас-Вегасе аналитик по вопросам безопасности Сальвадор Мендоса (Salvador Mendoza) продемонстрировал уязвимости процесса токенизации Samsung Pay, позволяющие хакеру определить номер карты покупателя. В процессе токенизации генерируется строка случайных чисел и букв, используемых, чтобы скрыть платежные реквизиты, которые могут быть использованы злоумышленниками. Исследователь говорит, что, при добавлении номеров кредитных и дебетовых карт в Samsung Pay, когда генерируется конкретный токен, злоумышленникам легче вычислить следующие токены. Аналитик по вопросам безопасности не смог объяснить, почему это происходит.

Согласно отчету, это происходит с Samsung Pay во время транзакций по его технологии магнитно-безопасной передачи, которая используется смартфонами Galaxy, а также позволяет клиентам осуществлять оплату посредством Samsung Pay, даже если в ТСП имеется старый кассовый аппарат. При совершении покупки с помощью Samsung Pay установленный в телефоне чип посылает сигнал, аналогично тому, как это имеет место в случае магнитной полосы кредитной или дебетовой карты. Это удобно для покупателей, но дает хакерам возможность перехватить токен, который затем может быть использован, чтобы определить токены последующих транзакций. В то время как такой недостаток существует, захват этого первого токена не такое простое дело, и по признанию Мендосы, требует наличия у хакера специального оборудования, которое может путем спуфинга получить доступ к телефону пользователя. Тем не менее, Мендоса подчеркнул, что это возможно, и подтвердил свои слова, продемонстрировав прототип с открытым исходным кодом, который достаточно мал, чтобы его скрыть, но вполне может выполнить эту задачу. Мендоса сказал даже, что процесс скимминга можно автоматизировать.

По материалам Pymnts, PLUSworld.ru