Un difetto di Samsung Pay che potrebbe essere sfruttato dagli hacker

Momento della lettura: 3 verbale

Secondo quanto riferito, Samsung Pay ha falle di sicurezza, gravi quanto Sicurezza POS difetti, che potrebbero aiutare gli hacker a scremare le carte di credito in modalità wireless ed effettuare transazioni fraudolente.

Il ricercatore di sicurezza Salvador Mendoza, che ha scoperto i limiti della sicurezza di Samsung Pay, ha spiegato che queste limitazioni potrebbero essere utilizzate da un hacker in qualsiasi altro telefono per effettuare pagamenti fraudolenti.

Molti nuovi telefoni Samsung hanno un sistema di pagamento contactless magnetico che converte i dati della carta di credito in gettoni. Questo viene fatto per impedire il furto dei numeri di carta di credito da parte degli hacker. Ma questi token possono essere rubati e quindi utilizzati in altro hardware da qualsiasi hacker per effettuare acquisti o pagamenti fraudolenti.

Salvador Mendoza, che è uno studente di un college di informatica, è anche un ricercatore. Aveva fatto una presentazione su questo tema relativo a Samsung Pay alla conferenza Black Hat 2016 a Las Vegas, ha chiarito che il sistema di generazione dei token non è così sicuro come potremmo credere che sia. Il processo di tokenizzazione si indebolisce una volta che il primo token viene generato da una carta specifica. Quindi potrebbe diventare facile prevedere i gettoni conseguenti da quella carta.

Pertanto, qualsiasi hacker può facilmente rubare un token da un dispositivo Samsung Pay e utilizzarlo in un altro hardware per effettuare transazioni fraudolente. Funziona quasi come Furto di identità una specie, non è vero?

Salvador Mendoza lo descrive in un video di YouTube, che è in spagnolo e con sottotitoli in inglese, su come sfruttare il difetto di Samsung Pay. Lo dimostra utilizzando un dispositivo Samsung Galaxy S6. Un aggeggio legato all'avambraccio viene utilizzato da lui per procurarsi i gettoni in modalità wireless, che possono quindi essere inviati tramite e-mail alla sua casella di posta. Spiega che i token così ottenuti possono essere compilati in un altro telefono per effettuare un acquisto. Dimostra anche come si possono fare acquisti caricando il token in un dispositivo MagSpoof grezzo e fatto in casa.

Nella sua presentazione Black Hat, Salvador Mendoza dice: “Con Magspoof, ho effettuato con successo acquisti con i token ottenuti da Samsung Pay. Tuttavia, non ho potuto riutilizzarli. Ogni gettone che passa, viene bruciato. Quindi non c'è modo di riutilizzarlo ripetutamente. Tuttavia, un utente malintenzionato potrebbe provare a indovinare le ultime 3 cifre del gettone successivo. Analizzando molte voci, un utente malintenzionato può restringere a una piccola gamma di possibili token futuri ".

Nella sua presentazione discute anche di un altro scenario: “Un altro possibile scenario potrebbe essere se un cliente Samsung tenta di utilizzare Samsung Pay ma accade qualcosa nel mezzo della transazione, e questo non va a buon fine, quel token è ancora vivo. Ciò significa che un utente malintenzionato potrebbe bloccare il processo di transazione per rendere Samsung Pay non riuscita e costringerlo a generare il token successivo. Così l'attaccante potrà utilizzare il numero tokenizzato precedente per effettuare un acquisto senza alcuna restrizione ”.

Salvador Mendoza suggerisce anche soluzioni per il problema nella sua presentazione: "Samsung Pay deve lavorare di più nella data di scadenza del token, per sospenderlo il più rapidamente possibile dopo che l'app ne ha generato uno nuovo, altrimenti l'app potrebbe smaltire i token che non erano implementato per effettuare un acquisto. Anche Samsung Pay deve evitare di utilizzare password statiche per “crittografare” i suoi file e database con la stessa funzione perché alla fine qualcuno potrebbe invertirli e sfruttarli. I database sono molto sensibili. Contengono informazioni delicate per aggiornare lo stato del token, le istruzioni per le connessioni al server e i certificati di convalida. "

Questo è sicuramente qualcosa da prendere sul serio, altrettanto sul serio Sicurezza POS ed Furto di identità.

INIZIA LA PROVA GRATUITA OTTIENI IL TUO SCORECARD DI SICUREZZA ISTANTANEO GRATUITAMENTE

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
• Coniare il futuro con Adryenn Ashley. Accedi qui.
• Fonte: https://blog.comodo.com/comodo-news/samsung-pay-flaw-that-could-be-exploited-by-hackers/