r   e   k   l   a   m   a
r   e   k   l   a   m   a

Samsung Pay złamany, tokeny wydobyte, więc Koreańczycy wydają zabawne oświadczenia prasowe

Strona główna AktualnościBEZPIECZEŃSTWO

Samsung Pay miał być śmiałą odpowiedzią na Apple Pay i zarazem gwarancją, że dysponując najpopularniejszą marką smartfonów z Androidem, koreańska firma weźmie sobie spory kawałek pysznego tortu mobilnych płatności. Samsunga spotkała jednak niemiła niespodzianka. Platforma, która podobno jest już gotowa do uruchomienia w Polsce (czekając tylko na wdrożenie mechanizmów tokenizacyjnych Visy i MasterCarda w bankach), okazała się być mało bezpieczna. Na GitHubie już dostępny jest kod, który pozwala na przechwytywanie tokenów Samsung Paya. Wystarczy do tego Raspberry Pi z osprzętem i czytnik kart.

Zacznijmy od tego, że Samsung oficjalnie odniósł się do odkrycia (o którym został powiadomiony w maju tego roku), nazywając odkrycie przez Salvadora Mendozę luki w systemie płatności „nieścisłym”. Ścisłe czy nieścisłe, przyjrzyjmy się, w czym tkwi problem. Mendoza podczas swojej prezentacji na konferencji Black Hat pokazał, jak wydobyć z aplikacji Samsung Pay tokeny i wykorzystać je do przeprowadzenia „lewych” transakcji.

Jak działa Samsung Pay?

Usługa wymaga konfiguracji za pomocą konta online Samsunga, z którym powiązany zostaje odcisk palca, hasło zapasowe i PIN usługi płatniczej. Po skonfigurowaniu, należy uruchomić aplikację płatniczą i uwierzytelnić się odciskiem palca. Uruchamia to zegar, odliczający czas sesji płatniczej. W wypadku terminala NFC, wystarczy zbliżyć smartfon do czytnika. Jeśli mamy do czynienia ze zwykłym terminalem płatniczym, należy zbliżyć do niego telefon, który wykorzysta technologię Magnetic-Secure-Transmission do wyemitowania pola magnetycznego, symulującego przeciągnięcie karty w czytniku.

r   e   k   l   a   m   a

Bezpieczeństwo płatności zapewniane jest w procesie tokenizacji. Token pozwala ukryć dane karty kredytowej przed potencjalnym napastnikiem. Po dodaniu swojej karty kredytowej do Samsung Pay, system generuje nową wirtualną kartę kredytową, wykorzystując usługę Visa Token Service i przypisuje do niej taki token, przechowywany w bezpiecznym miejscu – Token Vault. Tak więc podczas transakcji Samsung Pay nie przekazuje numeru karty kredytowej, lecz właśnie taki token, zawierający unikatowy dla urządzenia numer oraz unikatowe dla danej transakcji ciągi losowych liczb. W ten sposób nawet jeśli napastnik zdobyłby token, to nie mógłby z niego wyciągnąć informacji o karcie kredytowej ofiary.

Według nas ten ciąg jest losowy

Już widzimy, gdzie pojawia się problem. Samsung utrzymuje, że nie ma mowy, by ktokolwiek zgadł token, ponieważ tokeny tworzone są losowo. Ale losowość to bardzo trudna matematycznie kwestia, czy Samsung naprawdę się na losowości zna? Z badań Mendozy wynika, że tak sobie.

Wystarczyło zmusić usługę do pracy bez połączenia internetowego (funkcja taka jest obecna, by umożliwić np. płatności na pokładach samolotów), a okazuje się, że losowość bardzo słabnie – na tyle, że napastnik może przewidzieć generowane w przyszłości tokeny na podstawie już wcześniej przechwyconych. Co ciekawe, taki stworzony token ma dość długi czas życia, co najmniej 24 godziny, można go wykorzystać jeszcze po tym, jak ofiara wygeneruje sobie następny token do uwierzytelnienia innej transakcji.

Interesująco wygląda metoda realnego ataku. Mendoza zbudował małe urządzonko na bazie Raspberry Pi Zero, które można przyczepić do nadgarstka – potrafi ono przechwycić tokeny podczas płatności, a następnie przesłać je np. e-mailem na konto napastnika. Wówczas pozostaje wygenerować na ich podstawie nowe tokeny, a następnie zastosować wynalezione przez tureckiego hakera Samy Kamkara urządzenie MagSpoof do symulowania pasków magnetycznych kart. Karmiąc je tokenem, można przeprowadzić w dowolnym miejscu cywilizowanego świata transakcję płatniczą na koszt ofiary.

To zresztą nie koniec problemów z Samsung Payem. Badacz przyjrzał się temu, jak aplikacja Samsunga przechowuje wrażliwe dane w swojej bazie – okazało się, że ma jakąś własną funkcję szyfrującą, wykorzystującą statycznie wkompilowane hasła. Można tam znaleźć numery kart kredytowych, ostatnie cyfry tokenów, dane właściciela karty itp.

Wiemy o wszystkim, nie ma powodu do zmartwień

Samsung wystosował po odkryciu Mendozy oficjalne oświadczenie. Informuje w nim, że Samsung Pay zbudowany jest na bazie wysoce bezpiecznej technologii i jest najpowszechniej akceptowaną metodą płatności mobilnych na świecie. Wyjaśnia też, że wykorzystuje cyfrowe tokeny, które przechodząc przez wiele warstw bezpieczeństwa uniemożliwiają stronom trzecim pozyskanie prawdziwych danych karty kredytowej. Te wiele warstw bezpieczeństwa od Samsunga i jego partnerów wykryje wszelkie zagrożenia dla bezpieczeństwa, ponieważ bezpieczeństwo jest dla Samsunga najważniejsze i zawsze takie będzie, ponieważ firma jest oddana kwestii zabezpieczenia i ochrony danych użytkowników. Przypomina również, że Samsung Pay miał wspaniały debiut i dziś jest jedyną mobilną opcją płatności, która działa niemal wszędzie.

OK, dość już tej złośliwej nieco parafrazy – ale gdy sami zechcecie przeczytać oficjalne oświadczenie Samsunga, to przekonacie się, że tam prócz PR-owego ciągu sloganów nie ma nic innego. To trochę tak, jakby bezpieczeństwo systemu zależało od tego, ile razy w komunikacie prasowym pojawi się słowo „bezpieczeństwo”.

Mendoza nie skomentował odpowiedzi Samsunga, opublikował jedynie na YouTube kolejne wideo, w którym pokazuje, jak łapie tokeny z Samsung Pay.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.