Уязвимость Samsung Pay позволяет украсть данные для платежей

Как известно, технология Samsung Pay обеспечивает безопасность операций, переводя данные кредитной карты с помощью токенов, чтобы номера карт нельзя было украсть с устройства. Однако исследователь безопасности, Сальвадор Мендоса, обнаружил, что эти токены не так безопасны, представив более подробную информацию о данной уязвимости на конференции Black Hat.

Уязвимость Samsung Pay позволяет украсть данные для платежей
Он обнаружил, что процесс токенизации является ограниченным и что последовательность лексем может быть предсказана. Он объясняет, что процесс токенизации становится слабее после того, как приложение Samsung Pay приложение генерирует первый токен для конкретной карты, и есть большая вероятность, что в будущем токены можно будет предсказать.

Хакер, который умеет делать это, может украсть данные и использовать их на другом устройстве, чтобы сделать несанкционированные транзакции. Мендоса сказал, что он доказал свою теорию, отправив токен одному из своих друзей в Мексике, который смог использовать его с помощью специального оборудования, для того чтобы сделать покупку с помощью Samsung Pay, несмотря на то, что Samsung Pay даже не был запущен в Мексике.

Мендоса объясняет больше о своём открытии в видео, которое размещено ниже. Samsung уже отреагировали на заявление, правда, довольно странно. Они выпустили документ, который объясняет принцип работы Samsung Pay, и описывая различные технические особенности, что должно заверить пользователей, что украсть их данные невозможно.

Как бы то ни было, компании стоит всероссийская задуматься о безопасности своей технологии, если они не хотят растерять клиентов.

Источник: SamMobile