Осторожно с Samsung Pay: удобство на грани уязвимости

Мобильный кошелек Samsung Pay известен тем, что использует сразу две технологии передачи платежных реквизитов – NFC и MST. Именно благодаря последней расплатиться смартфоном можно в любом POS-терминале. Эту опцию было принято считать конкурентным преимуществом сервиса. Но после исследований эксперта в сфере кибербезопасности мнения разделились.

Сальвадор Мендос нашел способ перехвата зашифрованных платежных данных (токенов) с мобильного телефона жертвы и их использования для кражи средств. Он описан в этом видео.

Мошенник просит владельца мобильного телефона Samsung показать, как работает платежная система Samsung Pay. В процессе имитации оплаты телефон жертвы генерирует токен. Обычно этот шифр некоторое время остается активным, даже если пользователь не совершил оплату. Пользуясь этим, мошенник с помощью специального устройства перехватывает токен и может использовать его для кражи средств после обработки в специальной программе.

В Samsung опровергают эту информацию, называя такой инцидент маловероятным. Более того, в компании настаивают, что мобильный кошелек не использует систему шифрования платежных данных, о которой говорит эксперт.

Тем не менее, после того как Samsung официально опроверг наличие уязвимости, Мендос успешно повторил свой эксперимент.