11.08.2016,
10:24
78
Samsung отрицает возможность взлома Samsung Pay в процессе токенизации
Samsung сделал объявление, в котором исключил возможность взлома Samsung Payпосле того, как в эксперт по безопасности на недавней конференции...
На веб-сайте Samsung сообщается: «Обеспечение безопасности платежной информации является главным приоритетом для Samsung Pay, поэтому разработчики сервиса предусмотрели наличие высокотехнологичных элементов безопасности. Важно отметить, что Samsung Pay не использует описанный в презентации Black Hat алгоритм для шифрования платежных данных и генерации криптограмм. Сервис Samsung Pay считается более безопасным, чем платежные карты, поскольку он передает подавляющему большинству ТСП, которые еще не имеют EMV-сертифицированных терминалов (для платежей с использованием смарт-карт) данные одноразового использования. Благодаря Samsung Pay, пользователям не приходится вставлять в терминал карты со статической магнитной полосой».
В ходе недавней конференции по безопасности Black Hat в Лас-Вегасе аналитик по вопросам безопасности Сальвадор Мендоса (Salvador Mendoza) продемонстрировал уязвимости процесса токенизации Samsung Pay, позволяющие хакеру определить номер карты покупателя. В процессе токенизации генерируется строка случайных чисел и букв, используемых, чтобы скрыть платежные реквизиты, которые могут быть использованы злоумышленниками. Исследователь говорит, что, при добавлении номеров кредитных и дебетовых карт в Samsung Pay, когда генерируется конкретный токен, злоумышленникам легче вычислить следующие токены. Аналитик по вопросам безопасности не смог объяснить, почему это происходит.
Согласно отчету, это происходит с Samsung Pay во время транзакций по его технологии магнитно-безопасной передачи, которая используется смартфонами Galaxy, а также позволяет клиентам осуществлять оплату посредством Samsung Pay, даже если в ТСП имеется старый кассовый аппарат. При совершении покупки с помощью Samsung Pay установленный в телефоне чип посылает сигнал, аналогично тому, как это имеет место в случае магнитной полосы кредитной или дебетовой карты. Это удобно для покупателей, но дает хакерам возможность перехватить токен, который затем может быть использован, чтобы определить токены последующих транзакций. В то время как такой недостаток существует, захват этого первого токена не такое простое дело, и по признанию Мендосы, требует наличия у хакера специального оборудования, которое может путем спуфинга получить доступ к телефону пользователя. Тем не менее, Мендоса подчеркнул, что это возможно, и подтвердил свои слова, продемонстрировав прототип с открытым исходным кодом, который достаточно мал, чтобы его скрыть, но вполне может выполнить эту задачу. Мендоса сказал даже, что процесс скимминга можно автоматизировать.
По материалам Pymnts, PLUSworld.ru