Ha sido Hackeado Samsung Pay, cuidado Samsung
Los pagos móviles sin contacto vienen de serie en los últimos smartphones de Samsung Galaxy, pero un hacker ha encontrado una manera de interceptar sus agujeros de seguridad. En una presentación realizada en Defcon, Salvador Mendoza destacó una serie de ataques contra Samsung Pay. El fabricante de teléfonos inteligentes respondiendo que sabía sobre este problema, pero que tales ataques son "extremadamente difícil" de lograr.
Los ataques realizados por Mendoza se centran en la fabricación de interceptar o ser testigo de pagos móviles. Códigos generados por el smartphone del usuario que se interponen en medio de su información de tarjeta de crédito. Esta acción se envían desde el dispositivo móvil al terminal de pago durante las compras inalámbricas. Antes de que caduquen durante las 24 horas después de ser generado y en un solo uso.
Mendoza destacó una serie de ataques contra esto. En un escenario, un dispositivo montado en la muñeca se usa para hackear fichas generadas (tokens). Por el smartphone del usuario. Esto requeriría de un usuario para autenticar el pago - aunque no complete - un pago móvil. Mendoza lo que sugiere es que un hacker podría engañar al usuario pidiendo ver una demostración de Samsung Pay. Se puede ver este método en acción en un vídeo de Mendoza a continuación:
https://www.youtube.com/watch?v=QMR2JiH_ymU&feature=youtu.be
En su presentación, Mendoza también dice tener patrones que se encuentran en el método de generación de tokens de Samsung. Permitiendo que un hacker pueda hacer hipotéticamente sus propias tokens nuevas (fichas utilizables). Mendoza sugiere que esto es posible "Si un atacante analiza las fichas con mucho cuidado, él / ella podría poner en práctica un método de predicción", pero no dice si se las ha ingeniado para generar las señales falsas a sí mismo.
En un blog, Samsung refutó esta parte de la presentación de Mendoza, diciendo:
"Es importante tener en cuenta que Samsung Pay no utiliza el algoritmo, se reivindica en la presentación Sombrero Negro para cifrar las credenciales de pago." Sin embargo, en un FAQ adjunta, la compañía admite que en ciertos escenarios un atacante podría Hackear el pago de un usuario y realizar una compra fraudulenta con su tarjeta.
La dificultad, como Samsung lo describe, es que el atacante debe estar físicamente cerca del dispositivo, mientras que ellos están haciendo una compra legítima. Esto podría significar que hay que esperar a alguien que pueda comprar algo en una tienda. La interferencia de la señal entre el teléfono inteligente y el terminal de pago, y luego usar esa señal antes de que el usuario complete su compra prevista. Samsung describe este proceso como "extremadamente difícil", pero podría ser tan simple como la creación de terminal de pago falsa en una tienda.