Samsung Pay cacat yang bisa dimanfaatkan oleh peretas

Waktu Membaca: 3 menit

Samsung Pay dilaporkan memiliki kelemahan keamanan, sama seriusnya dengan Keamanan POS kelemahan, yang bisa membantu peretas membaca kartu kredit secara nirkabel dan melakukan transaksi penipuan.

Peneliti keamanan Salvador Mendoza, yang telah menemukan batasan dalam keamanan Samsung Pay, telah menjelaskan bahwa batasan ini dapat digunakan oleh peretas di telepon lain untuk melakukan pembayaran yang curang.

Banyak ponsel Samsung baru memiliki sistem pembayaran tanpa kontak berbasis magnet yang mengubah data kartu kredit menjadi token. Ini dilakukan untuk mencegah pencurian nomor kartu kredit oleh peretas. Tetapi token ini dapat dicuri dan kemudian digunakan dalam perangkat keras lain oleh peretas untuk melakukan pembelian atau pembayaran yang curang.

Salvador Mendoza, yang adalah seorang mahasiswa ilmu komputer, juga seorang peneliti. Dia telah membuat presentasi tentang masalah ini berkaitan dengan Samsung Pay pada konferensi Black Hat 2016 di Las Vegas, telah menjelaskan bahwa sistem menghasilkan token tidak seaman yang kita yakini. Proses tokenization menjadi lebih lemah setelah token pertama dihasilkan dari kartu tertentu. Dengan demikian mungkin menjadi mudah untuk memprediksi token akibat dari kartu itu.

Dengan demikian, setiap peretas dapat dengan mudah mencuri token dari perangkat Samsung Pay dan menggunakannya dalam perangkat keras lain untuk melakukan transaksi penipuan. Bekerja hampir seperti pencurian identitas semacam itu, bukan?

Salvador Mendoza menjelaskan ini dalam Video YouTube, yang dalam bahasa Spanyol dan dengan teks bahasa Inggris, tentang bagaimana kekurangan Samsung Pay dapat dieksploitasi. Dia menunjukkannya menggunakan perangkat Samsung Galaxy S6. Alat yang diikat ke lengan digunakan olehnya untuk mendapatkan token secara nirkabel, yang kemudian dapat diemailkan ke inbox-nya. Dia menjelaskan bahwa token yang dibeli dapat dikompilasi ke ponsel lain untuk melakukan pembelian. Dia juga menunjukkan bagaimana pembelian dapat dilakukan dengan memasukkan token ke perangkat MagSpoof yang dibuat sendiri.

Dalam presentasinya Black Hat, Salvador Mendoza mengatakan- “Dengan Magspoof, saya berhasil melakukan pembelian dengan token yang diperoleh dari Samsung Pay. Namun, saya tidak bisa menggunakannya kembali. Setiap token yang melewati, itu dibakar. Jadi tidak ada cara untuk menggunakannya kembali berulang kali. Namun, seorang penyerang dapat mencoba menebak 3 digit terakhir dari token berikutnya. Menganalisis banyak entri, penyerang dapat mempersempit ke sejumlah kecil kemungkinan untuk token masa depan. "

Dia juga membahas skenario lain dalam presentasinya- “Skenario lain yang mungkin terjadi adalah Jika seorang pelanggan Samsung mencoba menggunakan Samsung Pay tetapi sesuatu terjadi di tengah transaksi, dan ini tidak terjadi, token itu masih hidup. Berarti penyerang dapat menghentikan proses transaksi untuk membuat Samsung Pay gagal dan memaksanya untuk menghasilkan token berikutnya. Jadi penyerang akan dapat menggunakan nomor tokenized sebelumnya untuk melakukan pembelian tanpa batasan ”.

Salvador Mendoza juga menyarankan solusi untuk masalah ini dalam presentasinya- “Samsung Pay harus bekerja lebih keras pada tanggal kedaluwarsa token, untuk menangguhkan mereka secepat mungkin setelah aplikasi menghasilkan yang baru, atau aplikasi dapat membuang token yang tidak diimplementasikan untuk melakukan pembelian. Samsung Pay juga perlu menghindari penggunaan kata sandi statis untuk "mengenkripsi" file dan databasenya dengan fungsi yang sama karena pada akhirnya seseorang akan dapat membalikkan dan mengeksploitasinya. Basis data sangat sensitif. Mereka berisi informasi yang rumit untuk memperbarui status token, instruksi koneksi server dan sertifikat validasi. "

Ini jelas sesuatu yang harus ditanggapi serius, sama seriusnya dengan Keamanan POS dan pencurian identitas.

MULAI PERCOBAAN GRATIS DAPATKAN SCORECARD KEAMANAN INSTAN ANDA GRATIS

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
• Sumber: https://blog.comodo.com/comodo-news/samsung-pay-flaw-that-could-be-exploited-by-hackers/