Hacker làm giả thẻ tín dụng nhờ lỗ hổng trên Samsung Pay

Thanh toán qua di động ko tiếp xúc đang thành tiêu chuẩn trên những cái smartphone Galaxy mới nhất của Samsung, nhưng 1 hacker đã chọn ra bí quyết để can thiệp vào một vài tín hiệu của họ. Trong 1 buổi thuyết trình tại Defcon, Salvador Mendoza đã trình diễn một vài hình thức tấn công nhắm vào hệ thống Samsung Pay, sở hữu phản hồi của nhà chế tạo smartphone rằng họ đã biết về lỗ hổng này, nhưng vài cuộc tấn công như vậy “quá khó” để mang thể thực hiện thành công.



Cuộc tấn công trình do Mendoza thể hiện tập trung vào việc can thiệp ca đánh sữa hoặc làm fake token thanh toán – vài mã được tạo ra bởi smartphone của người mua để thay thế cho tin tức thẻ tín dụng của họ. một số token này được gửi từ trang bị di động đến đồ vật thanh toán qua một vài giao dịch ko dây. Chúng sẽ hết hạn trong vòng 24h sau lúc được tạo ra và chỉ được dùng 1 lần duy nhất.

trang bị đeo tay của Mendoza đang sao chép số token được gửi đi từ smartphone.

Mendoza đã chỉ ra vài kiểu tấn công nhắm vào mục tiêu này. Trong 1 kịch bản, 1 vật dụng đeo tay được sử dụng để đọc lướt qua những số token tạo ra bởi smartphone của bạn. Việc này sẽ buộc phải mọi người phải xác thực 1 thanh toán qua di động nhưng chưa hoàn thành, tuy nhiên Mendoza cho rằng một hacker với thể đánh lừa quý khách bằng mẹo phải để họ thấy bí quyết Samsung Pay hoạt động.

dùng một thứ tên là MagSpoof, hacker mang thể sử dụng số token sao chép được để thanh toán.

Trong bài thuyết trình của mình, Mendoza cũng tuyên bố đã tìm ra một số mô hình về cách thức tạo ra token của Samsung, cho phép 1 hacker, về lý thuyết, có thể tự tạo ra token mới cho riêng mình. Mendoza cho rằng điều này là sở hữu thể “Nếu một kẻ tấn công phân tích một số token này một phương pháp chu đáo, hắn sở hữu thể thực hiện một bí quyết đoán để làm được điều này,” nhưng anh ko nhắc mình sẽ tự tạo bất kỳ số token fake mạo nào cho riêng mình.

Trong bài đăng trên blog của mình, Samsung bác bỏ phần trình bày của Mendoza, cho rằng: “Điều quan trọng nên để ý rằng Samsung Pay không tiêu dùng thuật toán như đã tuyên bố trong phần trình bày của hacker Black Hat trên để mã hóa tin thanh toán.” Tuy nhiên, trong bản một số câu hỏi thường gặp, doanh nghiệp cũng thừa nhận rằng trong vài tình huống nhất định, một kẻ tấn công có thể đọc lướt số token thanh toán của khách hàng và thực hiện việc mua hàng gian lận có thẻ của họ.

Thực hiện thành công việc thanh toán trong 1 máy sắm hàng tự động ở liên hệ tạp hóa.

Như Samsung mô tả nó, điều cạnh tranh bình lắc pha chế là, kẻ tấn công phải ở đủ sắp sở hữu mục tiêu trong lúc họ thực hiện việc mua hàng hợp lệ. Điều này cũng có nghĩa rằng, kẻ tấn công đề nghị đợi ai ấy sắm hàng ở một liên hệ, can thiệp vào tín hiệu giữa smartphone và vật dụng thanh toán, đọc lướt qua số token trên điện thoại của họ, và sau đấy tiêu dùng số token đấy trước lúc các bạn hoàn thành việc sắm hàng như dự định.

Samsung cho rằng quá trình này “quá khó” để thực hiện, nhưng nó mang thể đơn thuần hơn trường hợp chúng thiết lập 1 đồ vật thanh toán giả mạo ở ngay trong địa chỉ.

doanh nghiệp điện thoại này cũng cho biết họ và hãng thanh toán đang thiết kế việc với nhau, và cho rằng vấn đề này là một “rủi ro chấp nhận được”, và trường hợp việc đánh giá của họ là đúng, vững chắc phương pháp tấn công này sẽ không nguy hiểm hơn so mang vài phương pháp gian lận thẻ tín dụng khác.

Mendoza nhắc với trang ZDNet rằng “mọi thẻ tín dụng, thẻ ghi nợ bình xịt kem và thẻ trả trước từ bất kỳ ngân hàng liên kết nào” đều dễ bị tổn thương với cộng một phương pháp tấn công như vậy. Cho Tuy nhưng, điều này ko với nghĩa là nó không phải một sai lầm. Sau đa số, điểm quan trọng của việc tạo ra vài hệ thống thanh toán mới là gì nếu họ chỉ đơn thuần lặp lại một số lỗ hổng của một số hệ thống cũ?