Kifoszthatók a bankszámlák a Samsung Payen keresztül

Vágólapra másolva!

Bonyolult eszközökkel, de ellophatók a felhasználó bankkártyaadatai a Samsung Pay sebezhetősége révén. A támadók bármilyen korlátozás nélkül szipkázhatják le a pénzt a számláról.

Origo

Vágólapra másolva!

Samsung mobilfizetés samsung pay

A mobilfizetési rendszereket megbízhatóságuk és kényelmességük teszi vonzóvá, sokan viszont még szkeptikusak az ilyen megoldásokkal szemben, főleg ha a biztonságról van szó. A Samsung gyártó Pay nevű rendszerében legutóbb komoly sebezhetőséget fedezett fel egy biztonsági szakértő.

Salvador Mendoza a Black Hat nevű hackerkonferencián világított rá a rendszer gyengeségére Las Vegasban, amelyet kihasználva

a hackerek egy másik eszközről tudnak fizetéseket indítani

a felhasználó ellopott bankkártyaadataival.

A mágneskártyás alapon működő rendszer az újabb Samsung telefonokkal kompatibilis. Minden tranzakciónál úgynevezett tokent generál, ami elrejti a bankkártyaadatokat, így a hackerek azokat nem tudják lefülelni útközben.

A fejlett rendszerekbe is be lehet jutni Forrás: Samsung

Ezek a tokenek viszont nem olyan biztonságosak Mendoza szerint. Azok felépítése kiszámítható, főleg ha egy kártyáról már több tranzakció indult, minden újabb tranzakcióval gyengül a védelem. A tokeneket

a hackerek eltéríthetik, ellophatják, majd egy másik eszközön használhatják fel

arra, hogy arról indítsanak kifizetést a kártya adataival, bármilyen korlátozás nélkül.

A szakember élesben is ellenőrizte a módszer működését: egy tokent küldött barátjának Mexikóba, aki annak ellenére is tudta hamisítani azt egy mágneses hardverrel, hogy az országában nem érhető el a Samsung Pay. Ugyan a token ellopása és feltörése egy sokkal bonyolultabb folyamat, amihez már egy speciális mágneses eszközt kell eszkábálni.

A Samsung szóvivője annyit reagált a hírre, hogy a Samsung Pay a legfejlettebb biztonsági funkciókkal védi a felhasználókat, és minden problémát vizsgálnak.

Frissítés:

Cikkünk megjelenése után a Samsung Electronics a következő álláspontot küldte meg az Origónak:
"Az elmúlt napokban valótlan állítások láttak napvilágot a Samsung Pay biztonságos használatával kapcsolatban. (...) A Samsung Pay minden egyes tranzakció során a bankkártya számát helyettesítő digitális tokent használ. A titkosított és hitelesítő információval ellátott token több biztonsági szűrésen is keresztülmegy és egyszer, kizárólag az adott fizetési tranzakció végrehajtására használható. A Samsung Pay-t úgy tervezték, hogy a kereskedők ne láthassák, illetve ne tárolhassák a használt kártya adatait, és a vásárlók minden egyes tranzakcióról értesítést kapjanak. A Samsung Pay és partnerei képesek a biztonsági fenyegetések észlelésére. A biztonság most és a jövőben is a legfontosabb a Samsung számára, a vállalat mindent megtesz a felhasználók adatainak védelme érdekében. A cég büszke arra, hogy kizárólag a Samsung kínál olyan mobilfizetési szolgáltatást, amely szinte bárhol használható, ahol bankkártyánkkal érintésmentesen vagy kézi lehúzással fizethetünk."

Elindult az európai terjeszkedés

Míg a tengerentúlon már éleződik a harc a mobilgyártók fizetési rendszerei közt, a magyar felhasználókat egyelőre nem fenyegeti veszély. A Samsung Pay első körben az Egyesült Államok, Dél-Korea és Kína területén jelent meg, év elején indult el a globális terjeszkedés.

Európában elsőként Spanyolországban használhatják,

az öreg kontinensen júniusban jelent meg először a szolgáltatás. Hivatalosan még nem jelentették be, mely országokban várható megjelenés a közeljövőben.