来源: 时间:2022-02-13 15:35:06
三星支付是该公司针对高端三星手机的Apple pay的答案,它存在一个安全漏洞,该漏洞可能使黑客掠过系统中存储的信用卡,然后进行欺诈性付款。Android应用程序的研究人员萨尔瓦多·门多萨 (Salvador Mendoza) 在全球最大的地下黑客大会Defcon上的一次演讲中指出了该漏洞。Mendoza概述了Samsung pay的缺陷,该缺陷使用了该公司的字母数字算法,称为标记化。三星方面否认其支付系统可能受到损害,并表示这种风险是已知的,但这种攻击不太可能被执行。
当用户将他/她的万事达卡,Visa或任何其他卡添加到Samsung pay时,系统会生成保存信用卡信息的随机令牌代码。这些令牌被保存在令牌保险库中,直到它们被移动设备使用以将它们从移动设备发送到他们希望使用Samsung pay的支付终端。这个令牌系统背后的想法是阻止某人即使找到令牌号码也无法提取卡的原始信用卡信息,从而确保原始卡的信息安全。每个令牌可以使用一次,并且仅在24小时内有效。
门多萨 (Mendoza) 在演讲中着重于这些支付令牌的拦截和制造。三星声称,由于系统以随机方式生成令牌,因此任何人都无法猜测令牌编号。这位安全研究人员声称已经找到了攻击该系统的方法,并表示他能够在MagSpoof设备的帮助下使用从Samsung pay获得的代币成功进行购买。即使令牌只能使用一次,他也声称攻击者可以猜测下一个令牌的后三位数。
另请参阅: QuadRooter漏洞使900 mn高通驱动的Android手机面临风险
在第二种情况下,如果攻击者能够在交易过程中中断付款,则令牌仍然有效。这种干扰将迫使Samsung pay生成新的令牌以供使用,而较旧的代码仍然有效。攻击者可能能够使用以前的令牌化号码进行购买。门多萨还共享了可用于此目的的干扰设备的图像。
根据该报告,解决此问题的方法是在应用程序生成新令牌后,Samsung pay尽快暂停这些令牌。该报告补充说,Samsung pay应该避免使用静态密码来加密其文件,因为有人可能会反转并利用它们。
但是,三星的帖子说,Defcon上显示的算法甚至不是用来加密支付凭据的算法,因此无法进行此类攻击。但该公司承认,掠影攻击模式一直是card networks、Samsung pay及其合作伙伴的已知问题,尽管这种攻击的可能性极低。
相关推荐
猜你喜欢
