Южнокорейская компания Samsung старается двигать прогресс с помощью своих устройств и сервисов. Samsung Pay — это будущее платежей для пользователей устройств этой компании.
Сервис должен соответствовать всем современным требованиям. Но насколько он им соответствует? Мы ждем запуска Samsung Pay в России, и должны быть уверены в том, что сервис безопасен.
В его безопасности недавно появились сомнения. На конференции Black Hat в Лаc-Вегасе исследователь в области безопасности Сальвадор Мендоса вышел на сцену с рассказом о том, как Samsung обрабатывает данные банковских карт.
Samsung Pay переводит эти данные в токены, которые нельзя украсть. Однако, по мнению Мендоса, несовершенство процесса создания токенов позволяет его предсказать. Мендоса уверяет, что с помощью его системы предсказания он смог создать токен, который он отправил своему другу в Мексике.
В этой стране не работает Samsung Pay, но его друг смог использовать Samsung Pay с полученным токеном для оплаты покупки. Насколько известно исследователям в области безопасности, на данный момент этот метод не используется злоумышленниками для кражи платежной информации пользователей Samsung Pay.
Однако Samsung обещала оперативно реагировать на каждую потенциальную уязвимость. Южнокорейский гигант выступил с официальным комментарием. Samsung подтвердила, что метод Мендоса может использоваться для незаконных операций.
Однако компания считает, что слишком много условий должно быть соблюдено для его работы. Злоумышленник должен находиться очень близко к жертве, глушить сигнал, либо отговорить жертву от совершения платежа после аутентификации.
В противном случае злоумышленник получит бесполезный токен. Samsung считает существование этой проблемы «допустимым» риском и подчеркивает, что подобным методом незаконные операции могут совершаться и с другими платежными системами, кредитными и дебетовыми картами.
Взято с androidinsider.ru