據(jù)外媒報道����,本周在拉斯維加斯參加黑帽大會的網(wǎng)絡(luò)安全研究人員薩爾瓦多·門多薩(Salvador Mendoza)指出,三星電子移動支付功能Samsung Pay的安全存在局限性����。如果黑客發(fā)現(xiàn)了這一漏洞��,可以通過另一部手機完成欺詐性付款�����。
Samsung Pay是基于磁性的非接觸支付系統(tǒng)���,它已在一些最新款的三星電子智能手機中成為標準功能之一����。通過把信用卡數(shù)據(jù)轉(zhuǎn)換為標記����,Samsung Pay讓黑客無法從用戶的設(shè)備中獲取到信用卡卡號。
不過這些標記并沒有想象中的安全����。門多薩的研究結(jié)果顯示�����,Samsung Pay的標記化過程極為有限����,且可以預(yù)測標記的序列���。先于8月4日黑帽大會的主題演講之前����,門多薩在電子郵件中曾解釋稱���,在Samsung Pay從特定的一張信用卡上產(chǎn)生第一個標記之后�����,其標記化進程就開始變?nèi)�����。這也就意味著黑客有機會來預(yù)測未來的標記����。
黑客可以盜用Samsung Pay產(chǎn)生的標記,然后用它在其它設(shè)備中不受限制的進行欺詐交易��。門多薩稱�����,攻擊者可以從Samsung Pay設(shè)備中盜取標記���,然后不受限制的使用它。他說�����,他曾向自己的一位墨西哥好友發(fā)送了一個符號�����,即便是Samsung Pay目前還沒有進入墨西哥市場����,這位好友仍能夠使用它在磁性欺騙硬件上購買商品。
關(guān)于如何盜取符號的問題�����,門多薩稱其實過程相當?shù)暮唵巍iT多薩開發(fā)的這臺設(shè)備捆綁在自己的前臂����,當他拿起別人的手機時,這臺設(shè)備就能夠通過無線方式盜取磁性安全傳輸����,然后會把盜取的標記通過電子郵件形式發(fā)送到他的個人郵箱。然后��,門多薩就可以把這個標記編輯到另一部手機���。
門多薩稱��,所有銀行的信用卡����、借記卡和預(yù)付卡都將會受到此類攻擊的影響���。不過這種攻擊方式對禮品卡無效��,因為Samsung Pay拋出一個條碼進行掃描��,而不是發(fā)送一個信號���。
三星電子方面并未透露該公司是否將修復(fù)這一漏洞����。該公司發(fā)言人稱����,“Samsung Pay基于更先進的安全功能進行開發(fā),確保所有的支付信息都進行加密和保證其安全�����。如果Samsung Pay存有安全隱患��,我們將立即著手進行調(diào)查����,并解決相關(guān)的問題����。”
小編推薦閱讀
