在本周的拉斯维加斯黑帽大会上,网络安全研究人员萨尔瓦多・门多萨(Salvador Mendoza)指出,三星电子移动付出功用Samsung Pay的安全存在局限性。假如黑客发现了这一缝隙,可以经过另一部手机完结诈骗性付款。
Samsung Pay曝存安全隐患
Samsung Pay是根据磁性的非触摸付出体系,它已在一些最新款的三星电子智能手机中成为规范功用之一。经过把信用卡数据转换为符号,Samsung Pay让黑客无法从用户的设备中获取到信用卡卡号。
不过这些符号并没有幻想中的安全。门多萨的研究结果显现,Samsung Pay的符号化进程极为有限,且可以猜测符号的序列。先于8月4日黑帽大会的主题讲演之前,门多萨在电子邮件中曾解说称,在Samsung Pay从特定的一张信用卡上发生第一个符号之后,其符号化进程就开端变弱。这也就意味着黑客有机会来猜测未来的符号。
黑客可以盗用Samsung Pay发生的符号,然后用它在其它设备中不受约束的进行诈骗买卖。门多萨称,攻击者可以从Samsung Pay设备中盗取符号,然后不受约束的运用它。他说,他曾向自己的一位墨西哥老友发送了一个符号,即便是Samsung Pay现在还没有进入墨西哥商场,这位老友仍可以运用它在磁性诈骗硬件上购买产品。
关于怎么盗取符号的问题,门多萨称其实进程适当的简略。门多萨开发的这台设备捆绑在自己的前臂,当他拿起他人的手机时,这台设备就可以经过无线方法盗取磁性安全传输,然后会把盗取的符号经过电子邮件方式发送到他的个人邮箱。然后,门多萨就可以把这个符号修改到另一部手机。