Degeaba merge și cu scanner de iris: sistemul de plăți al Samsung este ușor de spart

Anul trecut, Samsung a lansat serviciul de plată pe mobil, care permite deținătorilor de carduri să facă cumpărături cu telefonul. Tehnologia funcționează atât cu terminalele contactless, cât și cu POS-urile tradiționale.

La evenimentul de lansare al Samsung Galaxy Note 7, compania s-a lăudat cu scannerul de iris, care ar trebui să ofere un nivel de securitate superior. Reprezentanții companiei au menționat că funcționalitatea va fi utilă și pentru sistemul de plăți Samsung Pay, dar, în pofida planurilor de a transforma orice utilizator în James Bond, se pare că gigantul sud-coreean mai are de lucrat la capitolul securitate.

Sistemul pentru plăţi electronice Samsung Pay a câştigat rapid popularitate în ţările unde a fost deja implementat, fiind un rival de temut pentru Apple Pay. Se pare că are, totuși, o vulnerabilitate de securitate care permite hackerilor să fure informațiile cardului de credit wireless. Vulnerabilitatea a fost arătată printr-un video de expertul în securitate Salvador Mendoza în cadrul Black Hat Security Conference din Las Vegas, pe care îl puteți vedea mai sus.

Serviciul de plăți Samsung Pay a fost implementat folosind tehnologiile MST (Magnetic Secure Transmission) achiziţionate de la procesatorul LoopPay. Acesta poate funcţiona şi cu terminale POS obişnuite, bazate pe sistemul magstrip. Potrivit lui Salvador Mendoza, schimburile de date făcute între dispozitivele mobile care folosesc sistemul Samsung Pay şi terminalele de plăţi electronice pot fi interceptate relativ uşor, făcând posibilă efectuarea de plăţi aproape fără restricții.

Aparent, responsabil pentru această slăbiciune ar fi sistemul de token-uri folosit pentru securizarea tranzacţiilor, potrivit Slashgear. Se pare că după fiecare generare a unei noi chei unice de securitate, algoritmul folosit generează chei tot mai slabe, devenind predictibile ușor, după câteva încercări. Complicând şi mai mult lucrurile, tehnologia MST deja cunoscută ca fiind vulnerabilă uşurează interceptarea comunicaţiilor slab protejate, folosind dispozitive de tip skimmer. Odată decriptate, datele tranzacţiei pot fi refolosite pentru noi plăţi cu orice terminal Samsung Pay. Cei de la Samsung nu au oferit încă o soluție pentru această problemă.