Højdepunkter
- Samsung siger, at “flere vanskelige forhold”, der kræves for hack til at arbejde
- Samsung siger betalingstjenester bærer samme risiko som andre betalingsmuligheder
- Hacker påstod at mønstre bruges til at skabe tokens kan være regnet ud
I
en præsentation givet ved Defcon, en etisk hacker ved navn Salvador
Mendoza, der er fremhævet, hvad han menes at være større sårbarheder
i forbindelse med den Samsung Fjernsyn med mobil betaling service. Han hævder, at
Samsung Fjernsyn service kan misbruges, hvis betaling møntefterligninger, der er skummet.
Samsung har reageret på fordringer, der foretages af Mendoza, og har sagt, at selv
selvom det er muligt at udnytte den svaghed, at det er en særdeles
vanskelig opgave at trække ud.
I sin præsentation,
Mendoza har vist, hvordan betaling tokens, der er genereret i løbet af den
brugen af Samsung Fjernsyn kan blive opfanget eller mindre troværdigt) selv at være
fremstillet af hackere til at udnytte brugere af Samsungs mobil betaling
tjenesten.
Mendoza ‘ s præsentation viste, hvordan betalingen poletter kan
være skummet-eller aflyttes. Poletter er sendt fra den mobile enhed til den
betaling terminal, hvilket indebærer, at hackeren har behov for at blive stående i nærheden.
Da spånerne engangsbrug, og de udløber inden for 24 timer,
betaling bliver nødt til at være stoppet efter godkendelse for kupon til
fortsat gyldige og misbruges. Han selv hævder, at betaling token
der genereres af den sydkoreanske virksomhed kan være hypotetisk regnet ud,
og derefter bruges til at udvikle poletter, der kan foretage indkøb. Men
Mendoza ikke sige, at han var i stand til at generere en falsk tokens sig selv.
Samsung i en FAQ reagerer
til Mendoza ‘ s Defcon præsentation, siger, at “token skimming” kan være
udnyttet, men “flere svære betingelser skal være opfyldt”, som
omfatter tæt nærhed til brugeren – som MST er en meget kort rækkevidde
kommunikation system. Hackeren vil også nødt til enten at blokere signalet
før det når betalingen terminal for token til at forblive anvendelige,
eller, på en eller anden måde narre brugeren til at stoppe transaktionen-efter godkendelse.
Hvis der på trods af alt dette, kan en hacker formår at få fat i en brugbar betaling
token, så snart en transaktion, der er foretaget med det, vil brugeren blive
meddelt på den tilhørende smartphone, der giver dem mulighed for at advare
myndigheder. Som Randen point
ud, men hele processen kunne være så simpelt som “opsætning af en
falske betaling terminal i en butik.”
Selskabet har yderligere
præciseret, at hele processen med at stjæle og bruge tokens betaling
kan gælde for andre betalingssystemer samt – noget, der Mendoza
selv indrømmer
ZDNet – som debet, kredit-og betalingskort.
Som for
påstanden om, at hackere vil være i stand til at generere deres egen Samsung Fjernsyn
betaling tokens efter en analyse af mønstre, Samsung reagerede ved at sige, “Det er
vigtigt at bemærke, at Samsung Betaler ikke bruge den algoritme, der hævdede i
den Sorte Hat præsentation til at kryptere betaling legitimationsoplysninger eller generere
kryptogrammer.”