В Samsung Pay нашли уязвимость, позволяющую красть данные кредиток
Южнокорейская компания Samsung старается двигать прогресс с помощью своих устройств и сервисов. Samsung Pay — это будущее платежей для пользователей устройств этой компании. Сервис должен соответствовать всем современным требованиям. Но насколько он им соответствует? Мы ждем запуска Samsung Pay в России, и должны быть уверены в том, что сервис безопасен. В его безопасности недавно появились сомнения.
На конференции Black Hat в Лаc-Вегасе исследователь в области безопасности Сальвадор Мендоса вышел на сцену с рассказом о том, как Samsung обрабатывает данные банковских карт. Samsung Pay переводит эти данные в токены, которые нельзя украсть. Однако, по мнению Мендоса, несовершенство процесса создания токенов позволяет его предсказать.
Мендоса уверяет, что с помощью его системы предсказания он смог создать токен, который он отправил своему другу в Мексике. В этой стране не работает Samsung Pay, но его друг смог использовать Samsung Pay с полученным токеном для оплаты покупки.
Насколько известно исследователям в области безопасности, на данный момент этот метод не используется злоумышленниками для кражи платежной информации пользователей Samsung Pay. Однако Samsung обещала оперативно реагировать на каждую потенциальную уязвимость. Южнокорейский гигант выступил с официальным комментарием.
Samsung подтвердила, что метод Мендоса может использоваться для незаконных операций. Однако компания считает, что слишком много условий должно быть соблюдено для его работы. Злоумышленник должен находиться очень близко к жертве, глушить сигнал, либо отговорить жертву от совершения платежа после аутентификации. В противном случае злоумышленник получит бесполезный токен.
Samsung считает существование этой проблемы «допустимым» риском и подчеркивает, что подобным методом незаконные операции могут совершаться и с другими платежными системами, кредитными и дебетовыми картами.