Samsung Pay złamany, tokeny wydobyte, więc Koreańczycy wydają zabawne oświadczenia prasowe

Samsung Pay złamany, tokeny wydobyte, więc Koreańczycy wydają zabawne oświadczenia prasowe

Samsung Pay złamany, tokeny wydobyte, więc Koreańczycy wydają zabawne oświadczenia prasowe
09.08.2016 15:32

Samsung Pay miał być śmiałą odpowiedzią na Apple Pay izarazem gwarancją, że dysponując najpopularniejszą markąsmartfonów z Androidem, koreańska firma weźmie sobie spory kawałekpysznego tortu mobilnych płatności. Samsunga spotkała jednakniemiła niespodzianka. Platforma, która podobno jest już gotowa douruchomienia w Polsce (czekając tylko na wdrożenie mechanizmówtokenizacyjnych Visy i MasterCarda w bankach), okazała się byćmało bezpieczna. Na GitHubie jużdostępny jest kod, który pozwala na przechwytywanie tokenówSamsung Paya. Wystarczy do tego Raspberry Pi z osprzętem i czytnikkart.

Zacznijmy od tego, że Samsung oficjalnie odniósł się doodkrycia (o którym został powiadomiony w maju tego roku), nazywającodkrycie przez Salvadora Mendozę luki w systemie płatności„nieścisłym”. Ścisłe czy nieścisłe, przyjrzyjmy się, wczym tkwi problem. Mendoza podczas swojej prezentacjina konferencji Black Hat pokazał, jak wydobyć z aplikacji SamsungPay tokeny i wykorzystać je do przeprowadzenia „lewych”transakcji.

Jak działa Samsung Pay?

Usługa wymaga konfiguracji za pomocą konta online Samsunga, zktórym powiązany zostaje odcisk palca, hasło zapasowe i PIN usługipłatniczej. Po skonfigurowaniu, należy uruchomić aplikacjępłatniczą i uwierzytelnić się odciskiem palca. Uruchamia tozegar, odliczający czas sesji płatniczej. W wypadku terminala NFC,wystarczy zbliżyć smartfon do czytnika. Jeśli mamy do czynienia zezwykłym terminalem płatniczym, należy zbliżyć do niego telefon,który wykorzysta technologię Magnetic-Secure-Transmission dowyemitowania pola magnetycznego, symulującego przeciągnięcie kartyw czytniku.

Bezpieczeństwo płatności zapewniane jest w procesietokenizacji. Token pozwala ukryć dane karty kredytowej przedpotencjalnym napastnikiem. Po dodaniu swojej karty kredytowej doSamsung Pay, system generuje nową wirtualną kartę kredytową,wykorzystując usługę Visa Token Service i przypisuje do niej takitoken, przechowywany w bezpiecznym miejscu – Token Vault. Tak więcpodczas transakcji Samsung Pay nie przekazuje numeru kartykredytowej, lecz właśnie taki token, zawierający unikatowy dlaurządzenia numer oraz unikatowe dla danej transakcji ciągi losowychliczb. W ten sposób nawet jeśli napastnik zdobyłby token, to niemógłby z niego wyciągnąć informacji o karcie kredytowej ofiary.

Według nas ten ciąg jest losowy

Już widzimy, gdzie pojawia się problem. Samsung utrzymuje, żenie ma mowy, by ktokolwiek zgadł token, ponieważ tokeny tworzone sąlosowo. Ale losowość to bardzo trudna matematycznie kwestia, czySamsung naprawdę się na losowości zna? Z badańMendozy wynika, że tak sobie.

Obraz

Wystarczyło zmusić usługę do pracy bez połączeniainternetowego (funkcja taka jest obecna, by umożliwić np. płatnościna pokładach samolotów), a okazuje się, że losowość bardzosłabnie – na tyle, że napastnik może przewidzieć generowane wprzyszłości tokeny na podstawie już wcześniej przechwyconych. Cociekawe, taki stworzony token ma dość długi czas życia, conajmniej 24 godziny, można go wykorzystać jeszcze po tym, jakofiara wygeneruje sobie następny token do uwierzytelnienia innejtransakcji.

Sprzętowy pogromca systemu płatności Samsunga
Sprzętowy pogromca systemu płatności Samsunga

Interesująco wygląda metoda realnego ataku. Mendoza zbudowałmałe urządzonko na bazie Raspberry Pi Zero, które możnaprzyczepić do nadgarstka – potrafi ono przechwycić tokeny podczaspłatności, a następnie przesłać je np. e-mailem na kontonapastnika. Wówczas pozostaje wygenerować na ich podstawie nowetokeny, a następnie zastosować wynalezione przez tureckiego hakeraSamy Kamkara urządzenie MagSpoofdo symulowania pasków magnetycznych kart. Karmiąc je tokenem, możnaprzeprowadzić w dowolnym miejscu cywilizowanego świata transakcjępłatniczą na koszt ofiary.

TokenGet

To zresztą nie koniec problemów z Samsung Payem. Badaczprzyjrzał się temu, jak aplikacja Samsunga przechowuje wrażliwedane w swojej bazie – okazało się, że ma jakąś własnąfunkcję szyfrującą, wykorzystującą statycznie wkompilowanehasła. Można tam znaleźć numery kart kredytowych, ostatnie cyfrytokenów, dane właściciela karty itp.

Wiemy o wszystkim, nie ma powodu do zmartwień

Samsung wystosował po odkryciu Mendozy oficjalne oświadczenie.Informuje w nim, że Samsung Pay zbudowany jest na bazie wysocebezpiecznej technologii i jest najpowszechniej akceptowaną metodąpłatności mobilnych na świecie. Wyjaśnia też, że wykorzystujecyfrowe tokeny, które przechodząc przez wiele warstw bezpieczeństwauniemożliwiają stronom trzecim pozyskanie prawdziwych danych kartykredytowej. Te wiele warstw bezpieczeństwa od Samsunga i jegopartnerów wykryje wszelkie zagrożenia dla bezpieczeństwa, ponieważbezpieczeństwo jest dla Samsunga najważniejsze i zawsze takiebędzie, ponieważ firma jest oddana kwestii zabezpieczenia i ochronydanych użytkowników. Przypomina również, że Samsung Pay miałwspaniały debiut i dziś jest jedyną mobilną opcją płatności,która działa niemal wszędzie.

OK, dość już tej złośliwej nieco parafrazy– ale gdy sami zechcecie przeczytać oficjalne oświadczenieSamsunga, to przekonacie się, że tam prócz PR-owego ciągusloganów nie ma nic innego. To trochę tak, jakby bezpieczeństwosystemu zależało od tego, ile razy w komunikacie prasowym pojawisię słowo „bezpieczeństwo”.

Testing Samsung Pay Tokens on Aug 9, 2016 at 12:27am

Mendoza nie skomentował odpowiedzi Samsunga, opublikował jedyniena YouTube kolejne wideo, w którym pokazuje, jak łapie tokeny zSamsung Pay.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (17)