Olvasási idő: 3 jegyzőkönyv
Állítólag a Samsung Pay biztonsági hibái is vannak, olyan súlyosak, mint POS biztonság hibák, amelyek segíthetnek a hackereknek vezeték nélküli hitelkártyák lefuttatásakor és csalárd tranzakciók lebonyolításában.
Salvador Mendoza biztonsági kutató, aki felfedezte a Samsung Pay biztonságának korlátait, kifejtette, hogy ezeket a korlátozásokat a hacker bármilyen más telefonban felhasználhatja csalárd fizetésre.
Sok új Samsung telefon rendelkezik mágneses alapú érintés nélküli fizetési rendszerrel, amely a hitelkártyaadatokat tokenekké alakítja. Ez azért történik, hogy megakadályozzák a hitelkártyaszámok hackerek általi ellopását. Ezeket a tokeneket azonban bármely hacker ellophatja, majd más hardverben felhasználhatja csalárd vásárlásra vagy fizetésre.
Salvador Mendoza, aki számítástechnikai főiskolai hallgató, szintén kutató. A Las Vegas-i Black Hat 2016 konferencián előadást tartott erről a Samsung Pay ügyről, és világossá tette, hogy a tokenek generálásának rendszere nem olyan biztonságos, mint azt hinnénk. A tokenizálási folyamat gyengébb lesz, ha az első tokent egy adott kártyáról generálják. Így könnyen lehet megjósolni az ebből a kártyából származó tokeneket.
Így bármely hacker könnyen ellophat egy tokent egy Samsung Pay-eszközről, és felhasználhatja azt más hardverekben csalárd tranzakciók végrehajtására. Szinte úgy működik személyazonosság-lopás amolyan, nem?
Salvador Mendoza ezt egy spanyol nyelvű és angol feliratos YouTube-videóban írja le, hogy hogyan lehet kihasználni a Samsung Pay hibáját. Ezt egy Samsung Galaxy S6 eszközzel mutatja be. Az alkarjára szíjazott eszköz segítségével vezeték nélkül szerzi be a tokeneket, amelyeket aztán e-mailben elküldhet a postaládájába. Elmondja, hogy az így beszerzett tokeneket egy másik telefonba lehet fordítani a vásárláshoz. Azt is bemutatja, hogyan lehet vásárolni, ha a tokent egy nyers, házi készítésű MagSpoof eszközbe töltik.
A Black Hat előadásában Salvador Mendoza azt mondja: „A Magspoof segítségével sikeresen vásároltam a Samsung Pay-től kapott tokenekkel. Ezeket azonban nem tudtam újra felhasználni. Minden jelző, ami átmegy, elégetik. Így nincs mód az ismételt felhasználásra. A támadó azonban megpróbálhatja kitalálni a következő token utolsó 3 számjegyét. Sok bejegyzést elemezve a támadó szűkítheti a lehetséges jövőbeli tokenek egy kis tartományát."
Előadásában egy másik forgatókönyvet is kifejt: „Egy másik lehetséges forgatókönyv lehet, ha egy Samsung-ügyfél megpróbálja használni a Samsung Pay szolgáltatást, de a tranzakció közepén történik valami, és ez nem megy, a token még mindig él. Ez azt jelenti, hogy a támadó megzavarhatja a tranzakciós folyamatot, ami miatt a Samsung Pay meghiúsul, és rákényszerítheti a következő token létrehozására. Így a támadó a korábbi tokenizált számot minden korlátozás nélkül használhatja a vásárláshoz”.
Salvador Mendoza előadásában megoldásokat is javasol a problémára: „A Samsung Pay-nek keményebben kell dolgoznia a token lejárati dátumán, hogy a lehető leggyorsabban felfüggessze azokat, miután az alkalmazás létrehoz egy újat, különben az alkalmazás megsemmisítheti azokat a tokeneket, amelyeket nem vásárláshoz valósítottuk meg. Szintén a Samsung Pay-nek el kell kerülnie, hogy statikus jelszavakat használjon fájljai és adatbázisai „titkosításához” ugyanazzal a funkcióval, mert végül valaki megfordíthatja és kihasználhatja azokat. Az adatbázisok nagyon érzékenyek. Kényes információkat tartalmaznak a token állapotának frissítéséhez, a szerverkapcsolati utasításokat és az érvényesítési tanúsítványokat.
Ezt mindenképpen komolyan kell venni, olyan komolyan, mint POS biztonság és a személyazonosság-lopás.
INGYENES PRÓBA INDÍTÁSA INGYEN SZEREZZE MEG AZONNALI BIZTONSÁGI EREDMÉNYKÁRTYÁT
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- A jövő pénzverése – Adryenn Ashley. Hozzáférés itt.
- Forrás: https://blog.comodo.com/comodo-news/samsung-pay-flaw-that-could-be-exploited-by-hackers/
- :is
- 2016
- a
- Képes
- Után
- elemzése
- és a
- Másik
- app
- VANNAK
- AS
- At
- BE
- mert
- válik
- Hisz
- Fekete
- Fekete sapka
- Blog
- égett
- by
- TUD
- kártya
- Kártyák
- tanúsítványok
- világos
- kettyenés
- Főiskola
- számítógép
- Computer Science
- Konferencia
- kapcsolatok
- érintés
- tartalmaz
- tudott
- hitel
- hitelkártya
- Bankkártyák
- nyers
- vevő
- dátum
- adatbázisok
- találka
- minden bizonnyal
- mutatja
- eszköz
- számjegy
- felfedezett
- könnyen
- Angol
- esemény
- végül is
- Minden
- magyarázható
- Elmagyarázza
- Exploit
- Hasznosított
- Sikertelen
- Fájlok
- vezetéknév
- hibája
- hibái
- A
- Kényszer
- csaló
- Ingyenes
- ból ből
- funkció
- jövő
- galaktika
- generál
- generált
- generál
- generáló
- kap
- Go
- Goes
- hacker
- hackerek
- megtörténik
- hardver
- kalap
- Legyen
- segít
- Hogyan
- azonban
- HTTPS
- i
- végre
- in
- Más
- információ
- azonnali
- utasítás
- kérdés
- IT
- ITS
- jpg
- LAS
- Las Vegas
- keresztnév
- mint
- korlátozások
- betöltés
- készült
- csinál
- sok
- max-width
- Lehet..
- jelenti
- Mendoza
- Középső
- esetleg
- igények
- Új
- következő
- szám
- számok
- kapott
- of
- on
- ONE
- Más
- jelszavak
- Fizet
- fizetés
- fizetési rendszer
- kifizetések
- telefon
- telefonok
- Plató
- Platón adatintelligencia
- PlatoData
- POS
- lehetséges
- előre
- bemutatás
- megakadályozása
- előző
- folyamat
- Vásárlás
- vásárlások
- gyorsan
- hatótávolság
- TÖBBSZÖR
- kutató
- újra
- fordított
- Salvador
- azonos
- Samsung
- Samsung Pay
- forgatókönyv
- Tudomány
- scorecard
- biztonság
- biztonság
- érzékeny
- súlyos
- kicsi
- So
- Megoldások
- Valaki
- valami
- spanyol
- különleges
- Állapot
- Még mindig
- lopott
- diák
- feliratok
- sikeresen
- javasolja,
- Felfüggesztés
- rendszer
- hogy
- A
- Őket
- Ezek
- Keresztül
- idő
- nak nek
- jelképes
- tokenizálás
- Vezérjeles
- tokenek
- is
- tranzakció
- Tranzakciók
- Frissítések
- használ
- érvényesítés
- VEGAS
- videó
- Út..
- ami
- WHO
- lesz
- val vel
- nélkül
- Munka
- művek
- lenne
- A te
- youtube
- zephyrnet