Sistemul pentru plăţi electronice Samsung Pay, vulnerabil la tentative de fraudă

Compatibil cu terminale deja existente, sistemul pentru plăţi electronice Samsung Pay a câştigat rapid popularitate în ţările unde a fost deja implementat, rivalizând până şi sistemul Apple Pay introdus pe dispozitive iOS. Din păcate, preţul pentru asigurarea disponibilităţii la scară largă fără investiţii majore în achiziţia de noi echipamente POS ar putea fi plătit chiar de utilizatori, dacă sistemul de plăţi dovedit a fi nesigur nu este remediat în timp util.

Implementat folosind tehnologiile MST (Magnetic Secure Transmission) achiziţionate de la procesatorul LoopPay, serviciul de plăţi Samsung Pay poate funcţiona şi cu terminale POS obişnuite bazate pe sistemul magstrip. Însă potrivit unui expert în securitate pe nume Salvador Mendoza, participant la ediţia de anul acesta a Black Hat Security Conference din oraşul american Las Vegas, schimburile de date făcute între dispozitivele mobile care folosesc sistemul Samsung Pay şi terminalele de plăţi electronice pot fi interceptate relativ uşor, făcând posibilă efectuarea de plăţi neautorizate aproape fără restricţii.

Responsabil cu această vulnerabilitate ar fi sistemul de token-uri folosit pentru securizarea tranzacţiilor. Aparent, cu fiecare generarea a unui nou token (cheie unică de securitate, valabilă o singură dată) algoritmul folosit generează chei tot mai slabe, devenind uşor predictibile după câteva încercări. Complicând şi mai mult lucrurile, tehnologia MST deja cunoscută ca fiind vulnerabilă uşurează interceptarea comunicaţiilor slab protejate, folosind dispozitive de tip skimmer.

Odată decriptate, datele tranzacţiei pot fi refolosite pentru noi plăţi cu orice terminal Samsung Pay şi chiar iniţierea de plăţi din ţări unde serviciul Samsung Pay nu este disponibil oficial.

Momentan, Samsung nu oferă un remediu pentru problemele semnalate în cadrul conferinţei Black Hat.