В платежной системе Samsung Pay обнаружена опасная уязвимость
Samsung признала наличие уязвимости в своей бесконтактной платежной системе Samsung Pay. В заявлении производителя отмечается, что ее эксплуатация возможна только при определенных условиях.
Как сообщает Securitylab, исследователи на конференции по безопасности Black Hat и DEF CON продемонстрировали уязвимость платежного сервиса Samsung, которой могут воспользоваться злоумышленники.
Для обеспечения достаточного уровня защищенности пользовательских данных в основе Samsung Pay лежит система генерации специальных токенов, которые заменяют номера пластиковых карт. Они генерируются каждый раз при совершении новой транзакции. Обнаруженная экспертами брешь безопасности позволяет перехватить токен.
Как утверждают специалисты, проблема связана с алгоритмом, генерирующим трехзначные коды для каждой транзакции, которые злоумышленники могут легко угадать с помощью брутфорс-атаки или других методов. Другими словами, злоумышленник может перехватить токен, определить правильный код для второй транзакции и использовать его для совершения покупок через учетную запись жертвы.
В подтверждение исследователи опубликовали видеодемонстриацию атаки. Эксперт Сальвадор Мендоза отправил один из сгенерированных ранее токенов своему коллеге. На основе полученных данных он смог создать другой ключ и с его помощью совершить покупку в торговом автомате.
Открытие вызвало ответную реакцию со стороны Samsung. Сначала компания опровергла наличие уязвимости, однако затем признала, что действительно использует описанный на презентации алгоритм генерации кодов транзакций. По словам представителей компании, атака возможна, но только при определенных условиях, предполагающих небольшое расстояние между злоумышленником и жертвой.
