Осторожно с Samsung Pay: удобство на грани уязвимости

Платежный сервис Samsung Pay при передаче платежных реквизитов использует 2 технологии NFC и MST. С помощью протокола MST и получается расплачиваться мобильным телефоном через любые POS-терминалы. Эта функция считается конкурентной "фишкой" платежного сервиса.

Специалист по кибербезопасности Сальвадор Мендос исследовал полные возможности этой функции.

При исследовании Сальвадор Мендос выявил уязвимость сервиса при котором можно перехватить зашифрованные платежные данные (токены) со смартфона владельца и далее использовать их для угона денежных средств. Все подробно рассказывается в видеоролике ниже:

YouTube YouTube
Злоумышленник просит потенциальную жертву показать как проходит схема оплаты со смартфона через платежный сервис Samsung Pay. Когда жертва демонстрирует имитацию оплаты, смартфон владельца шифрует данные и происходит генерация токена. Далее токен сам по себе какое-то время находится в активном состоянии, даже если оплата не совершена. Специальное устройство злоумышленника совершает перехват токена, который далее обрабатывается в специальном приложении и далее может использоваться для угона денежных средств.

В компании Samsung сделали официальное опровержение такой схемы кражи средств и назвали ее маловероятной. Так же в Samsung утверждают, что платежный сервис Samsung Pay не использует способ шифрования данных о которых рассказывает специалист.

Но, после того как в компании официально опровергли присутствие такой уязвимости Сальвадор Мендос еще раз благополучно повторил этот эксперимент.

По материалам: https://psm7.com/samsung-otricaet-sbo...opasnosti.html

Уже давно не секрет, что безопасность андроидов оставляет желать лучшего. Это, пожалуй, единственный минус, на мой взгляд Samsung. Надеюсь компания примет меры, т.к под угрозой могут оказаться средства пользователей.