據(jù)外媒報(bào)道,本周在拉斯維加斯參加黑帽大會(huì)的網(wǎng)絡(luò)安全研究人員薩爾瓦多·門(mén)多薩(Salvador Mendoza)指出����,三星電子移動(dòng)支付功能Samsung Pay的安全存在局限性。如果黑客發(fā)現(xiàn)了這一漏洞���,可以通過(guò)另一部手機(jī)完成欺詐性付款����。
Samsung Pay是基于磁性的非接觸支付系統(tǒng),它已在一些最新款的三星電子智能手機(jī)中成為標(biāo)準(zhǔn)功能之一�。通過(guò)把信用卡數(shù)據(jù)轉(zhuǎn)換為標(biāo)記,Samsung Pay讓黑客無(wú)法從用戶的設(shè)備中獲取到信用卡卡號(hào)�。
不過(guò)這些標(biāo)記并沒(méi)有想象中的安全。門(mén)多薩的研究結(jié)果顯示����,Samsung Pay的標(biāo)記化過(guò)程極為有限,且可以預(yù)測(cè)標(biāo)記的序列���。先于8月4日黑帽大會(huì)的主題演講之前���,門(mén)多薩在電子郵件中曾解釋稱,在Samsung Pay從特定的一張信用卡上產(chǎn)生第一個(gè)標(biāo)記之后�,其標(biāo)記化進(jìn)程就開(kāi)始變?nèi)酢_@也就意味著黑客有機(jī)會(huì)來(lái)預(yù)測(cè)未來(lái)的標(biāo)記��。
黑客可以盜用Samsung Pay產(chǎn)生的標(biāo)記���,然后用它在其它設(shè)備中不受限制的進(jìn)行欺詐交易����。門(mén)多薩稱�,攻擊者可以從Samsung Pay設(shè)備中盜取標(biāo)記,然后不受限制的使用它�。他說(shuō),他曾向自己的一位墨西哥好友發(fā)送了一個(gè)符號(hào)�,即便是Samsung Pay目前還沒(méi)有進(jìn)入墨西哥市場(chǎng),這位好友仍能夠使用它在磁性欺騙硬件上購(gòu)買(mǎi)商品�����。
關(guān)于如何盜取符號(hào)的問(wèn)題,門(mén)多薩稱其實(shí)過(guò)程相當(dāng)?shù)暮?jiǎn)單���。門(mén)多薩開(kāi)發(fā)的這臺(tái)設(shè)備捆綁在自己的前臂�,當(dāng)他拿起別人的手機(jī)時(shí)���,這臺(tái)設(shè)備就能夠通過(guò)無(wú)線方式盜取磁性安全傳輸�����,然后會(huì)把盜取的標(biāo)記通過(guò)電子郵件形式發(fā)送到他的個(gè)人郵箱�。然后����,門(mén)多薩就可以把這個(gè)標(biāo)記編輯到另一部手機(jī)。
門(mén)多薩稱����,所有銀行的信用卡、借記卡和預(yù)付卡都將會(huì)受到此類攻擊的影響��。不過(guò)這種攻擊方式對(duì)禮品卡無(wú)效���,因?yàn)镾amsung Pay拋出一個(gè)條碼進(jìn)行掃描���,而不是發(fā)送一個(gè)信號(hào)�。
三星電子方面并未透露該公司是否將修復(fù)這一漏洞���。該公司發(fā)言人稱,“Samsung Pay基于更先進(jìn)的安全功能進(jìn)行開(kāi)發(fā)���,確保所有的支付信息都進(jìn)行加密和保證其安全��。如果Samsung Pay存有安全隱患�,我們將立即著手進(jìn)行調(diào)查����,并解決相關(guān)的問(wèn)題��!
小編推薦閱讀
