一名信息安全研究员发现Samsung Pay的安全性存在问题,如果用户信息泄露给黑客,那么他将使用另一台手机于其他人完成诈骗支付。此非接触式磁力支付系统,是Samsung手机的标准新功能,工作原理是通过将信用卡数据转换为代币从而黑客无法从设备获知信用卡卡号。但这些代币并非与预期的那样安全。
Salvador Mendoza发现这个代币交易过程有局限性并且代币的交易顺序是能够被预测的。他在8月4日于拉斯维加的Black Hat演讲之前,在邮件中说明这个代币交易过程在第一次用特定的卡支付后安全性会降低,原因未来的代币有很大可能是可以被预测的。而那些代币能够被窃取并用于其他硬件来完成诈骗交易,这其实也是卡片浏览的一中新的形式,而且没有限制。他表示黑客黑客能够从Samsung Pay的设备中窃取代币并且没有限制的使用它。
Mendoza称他把一枚代币发送给墨西哥的朋友,而他的朋友用磁力诈骗硬件买东西,那时Samsung Pay还没有普及到墨西哥。他在YouTube视频中展示,消费者最大的疑惑是:黑客是如何窃取代笔的?答案是非常容易。Mendoza设计了一个新玩意儿绑在了他的前臂上并且在他接了别人的电话后无线盗取了磁力安全传输(MST),这样代币就会发到他的邮箱从而将其编制入另一台设备。或者,将那个硬件藏在一个合法的读卡器后,类似于平时的传统扫描器。然后,他将代币放入自制的MagSpoof设备中,这是一个开放源代码的伪无线磁力划卡设备。就是这么简单的操作后,你就可以买东西了。
Mendoza表示任何银行附属银行的任何信用卡、借记卡或是预付卡都已经被这种攻击所影响。但是,对礼品卡是无效的,因为Samsung Pay弹出的是扫描的条形码而不是传输信号。Samsung没有直接表明是否会修复这个缺陷。Samsung的发言人称Samsung Pay具有先进的信息安全技术,并确保所有的支付凭证都是加密的和安全的,而且是与Samsung Knox安全站台相连接。如果在任何时候出现潜在问题,会立刻介入调查并且解决问题。
日前,三星电子的新闻发言人随后发表声明进行了澄清,对于三星移动支付的质疑是不实的。。三星新闻发言人解释道,Samsung Pay具有先进的安全功能,可以保证交易证书的加密和安全,目前相关的报道是不实的。与普通的近场支付不同,Samsung Pay是基于磁性的非接触支付系统,任何一款pos机都能使用。三星将信用卡数据转换为标记,希望让黑客无法从用户设备中获取到信用卡卡号信息。
作者:鑫
链接:http://www.bugbank.cn/news/detail/57ad4402298f2a3e2a956805.html
来源:漏洞银行
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。