Høydepunkter
- Samsung sier “flere vanskelige forhold” som kreves for å hack arbeid
- Samsung sier betalingstjeneste bærer samme risiko som andre betalingsmåter
- Hacker hevdet at mønstre som brukes til å lage poletter kan bli funnet ut
I
en presentasjon gitt på Defcon, en etisk hacker heter Salvador
Mendoza markert hva han antas å være store svakheter
forbundet med Samsung Betale mobile payment service. Han hevder at
Samsung Betale tjenesten kan bli misbrukt dersom betaling tokens er skimmed.
Samsung har svart på påstander gjort av Mendoza, og har sagt at selv
selv om det er mulig å utnytte dette sikkerhetsproblemet, det er en ekstremt
vanskelig oppgave å trekke av.
I sin presentasjon,
Mendoza har vist hvordan betalingen symboler som er generert under
bruk av Samsung Betale kan bli fanget opp, eller (mindre troverdighet) selv være
fabrikkert av hackere å utnytte brukere av Samsungs mobil betaling
service.
Mendoza er presentasjonen viste hvordan betaling poletter kan
bli skimmed eller fanges opp. Polletter sendes fra den mobile enheten til
betalingsterminal, noe som tyder hacker behov for å bli stående i nærheten.
Siden merkene er enkelt-bruk, og utløper innen 24 timer
betaling må være stanset etter godkjenning for token til
fortsatt er gyldige og bli misbrukt. Han hevder selv at betaling token
som genereres av den Sør-koreanske selskapet kan være hypotetisk funnet ut,
og så brukt til å utvikle polletter som kan gjøre innkjøp. Imidlertid,
Mendoza ikke si at han var i stand til å generere falske tokens seg selv.
Samsung i en FAQ reagerer
til Mendoza er Defcon presentasjon sier at “token skimming” kan være
utnyttet, men “flere vanskelige vilkår som må være oppfylt”, som
inkluderer nærhet til brukeren – som MST er en svært kort rekkevidde
kommunikasjon system. Hacker vil også må enten papirstopp signal
før den når betalingsterminal for token å være brukbare,
eller, liksom lure brukeren til å stoppe transaksjonen-etter godkjenning.
Hvis det til tross for alt dette, en hacker klarer å få tak i en brukbar betaling
token, så snart transaksjonen er gjort med det, brukeren vil bli
varslet på forbundet smarttelefon – tillater dem å varsle
myndigheter. Som Randen poeng
ut imidlertid hele prosessen kan være så enkelt som å “sette opp en
falske betalingsterminal i butikk.”
Selskapet har videre
avklart at hele prosessen med å stjele og å bruke betaling tokens
kan gjelde for andre betalingssystemer som godt – noe som Mendoza
selv innrømmer
til ZDNet – slik som debet -, kreditt-og betalingskort.
Som for
hevder at hackere vil være i stand til å generere sine egne Samsung Betale
betaling tokens etter analysere mønstre, Samsung svarte ved å si: “Det er
viktig å merke seg at Samsung Betaler ikke bruke algoritmen hevdet i
Black Hat-presentasjon til å kryptere betaling legitimasjon eller generere
cryptograms.”