Læsetid: 3 minutter
Samsung Pay har angiveligt sikkerhedsfejl, så alvorlige som POS sikkerhed fejl, der kan hjælpe hackere med at skumme kreditkort trådløst og foretage svigagtige transaktioner.
Sikkerhedsforsker Salvador Mendoza, som har opdaget begrænsningerne i Samsung Pays sikkerhed, har forklaret, at disse begrænsninger kunne bruges af en hacker i enhver anden telefon til at foretage svigagtige betalinger.
Mange nye Samsung-telefoner har et magnetbaseret kontaktløst betalingssystem, som konverterer kreditkortdata til tokens. Dette gøres for at forhindre, at hackere stjæler kreditkortnumre. Men disse tokens kan blive stjålet og derefter brugt i anden hardware af enhver hacker til at foretage svigagtige køb eller betalinger.
Salvador Mendoza, som er en computer science college studerende, er også forsker. Han havde lavet en præsentation om dette spørgsmål vedrørende Samsung Pay på Black Hat 2016-konferencen i Las Vegas, og han har gjort det klart, at systemet til at generere tokens ikke er så sikkert, som vi måske tror, det er. Tokeniseringsprocessen bliver svagere, når det første token er genereret fra et specifikt kort. Det kan således blive nemt at forudsige de efterfølgende tokens fra det kort.
Enhver hacker kan således nemt stjæle et token fra en Samsung Pay-enhed og bruge det i anden hardware til at foretage svigagtige transaktioner. Virker næsten som identitetstyveri af slagsen, ikke?
Salvador Mendoza beskriver dette i en YouTube-video, som er på spansk og med engelske undertekster, om hvordan Samsung Pay-fejlen kan udnyttes. Han demonstrerer det ved hjælp af en Samsung Galaxy S6-enhed. En tingest fastspændt til underarmen bruges af ham til trådløst at skaffe tokens, som derefter kan e-mailes til hans indbakke. Han forklarer, at de således fremskaffede poletter kan samles i en anden telefon for at foretage et køb. Han demonstrerer også, hvordan køb kan gøres ved at indlæse tokenet i en rå, hjemmelavet MagSpoof-enhed.
I sin Black Hat-præsentation siger Salvador Mendoza: "Med Magspoof foretog jeg med succes køb med tokens fra Samsung Pay. Jeg kunne dog ikke genbruge dem. Hver brik, der går igennem, bliver brændt. Så der er ingen måde at genbruge det gentagne gange. En angriber kan dog prøve at gætte de sidste 3 cifre i det næste token. Ved at analysere mange indtastninger kan en angriber indsnævre til en lille række mulige for fremtidige tokens."
Han diskuterer også et andet scenarie i sin præsentation - "Et andet muligt scenarie kunne være Hvis en Samsung-kunde forsøger at bruge Samsung Pay, men der sker noget midt i transaktionen, og dette går ikke igennem, er det token stadig i live. Det betyder, at en angriber kunne blokere transaktionsprocessen for at få Samsung Pay til at mislykkes og tvinge den til at generere det næste token. Så angriberen vil være i stand til at bruge det tidligere tokeniserede nummer til at foretage et køb uden nogen begrænsninger”.
Salvador Mendoza foreslår også løsninger på problemet i sin præsentation - "Samsung Pay er nødt til at arbejde hårdere på tokens udløbsdato for at suspendere dem så hurtigt som muligt efter, at appen har genereret en ny, ellers kan appen bortskaffe de tokens, der ikke var implementeret for at foretage et køb. Også Samsung Pay skal undgå at bruge statiske adgangskoder til at "kryptere" sine filer og databaser med den samme funktion, fordi nogen i sidste ende ville være i stand til at vende det og udnytte dem. Databaserne er meget følsomme. De indeholder delikat information til opdatering af tokenstatus, serverforbindelsesinstruktioner og valideringscertifikater."
Dette er bestemt noget, der skal tages seriøst, lige så seriøst som POS sikkerhed , identitetstyveri.
START GRATIS PRØVNING FÅ DIT ØJEBLIKKE SIKKERHEDSSCORECARD GRATIS
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
- Kilde: https://blog.comodo.com/comodo-news/samsung-pay-flaw-that-could-be-exploited-by-hackers/
- :er
- 2016
- a
- I stand
- Efter
- analysere
- ,
- En anden
- app
- ER
- AS
- At
- BE
- fordi
- bliver
- Tro
- Sort
- Sort hat
- Blog
- brændt
- by
- CAN
- kort
- Kort
- certifikater
- klar
- klik
- Kollegium
- computer
- Datalogi
- Konference
- Tilslutninger
- kontaktløse
- indeholder
- kunne
- kredit
- kreditkort
- Kreditkort
- rå
- kunde
- data
- databaser
- Dato
- definitivt
- demonstrerer
- enhed
- cifre
- opdaget
- nemt
- Engelsk
- begivenhed
- til sidst
- Hver
- forklarede
- Forklarer
- Exploit
- Exploited
- mislykkedes
- Filer
- Fornavn
- fejl
- fejl
- Til
- Tving
- svigagtig
- Gratis
- fra
- funktion
- fremtiden
- Galaxy
- generere
- genereret
- genererer
- generere
- få
- Go
- Goes
- hacker
- hackere
- sker
- Hardware
- hat
- Have
- hjælpe
- Hvordan
- Men
- HTTPS
- i
- implementeret
- in
- I andre
- oplysninger
- øjeblikkelig
- anvisninger
- spørgsmål
- IT
- ITS
- jpg
- LAS
- Las Vegas
- Efternavn
- ligesom
- begrænsninger
- lastning
- lavet
- lave
- mange
- max-bredde
- Kan..
- betyder
- Mendoza
- Mellemøsten
- måske
- behov
- Ny
- næste
- nummer
- numre
- opnået
- of
- on
- ONE
- Andet
- Nulstilling/ændring af adgangskoder
- Betal
- betaling
- betalingssystem
- betalinger
- telefon
- telefoner
- plato
- Platon Data Intelligence
- PlatoData
- PoS
- mulig
- forudsige
- præsentation
- forhindre
- tidligere
- behandle
- køb
- indkøb
- hurtigt
- rækkevidde
- GENTAGNE GANGE
- forsker
- genbruge
- vende
- Salvador
- samme
- Samsung
- Samsung Pay
- scenarie
- Videnskab
- scorecard
- sikker
- sikkerhed
- følsom
- alvorlig
- lille
- So
- Løsninger
- Nogen
- noget
- Spansk
- specifikke
- Status
- Stadig
- stjålet
- studerende
- undertekster
- Succesfuld
- foreslår
- Suspender
- systemet
- at
- Them
- Disse
- Gennem
- tid
- til
- token
- tokenization
- tokeniseret
- Tokens
- også
- transaktion
- Transaktioner
- Opdatering
- brug
- validering
- VEGAS
- video
- Vej..
- som
- WHO
- vilje
- med
- uden
- Arbejde
- virker
- ville
- Din
- youtube
- zephyrnet
