在本周的拉斯維加斯黑帽大會上,網(wǎng)絡(luò)安全研究人員薩爾瓦多?門多薩(Salvador Mendoza)指出,三星電子移動付出功用Samsung Pay的安全存在局限性。假如黑客發(fā)現(xiàn)了這一縫隙,可以經(jīng)過另一部手機完結(jié)詐騙性付款。
Samsung Pay曝存安全隱患
Samsung Pay是根據(jù)磁性的非觸摸付出體系,它已在一些最新款的三星電子智能手機中成為規(guī)范功用之一。經(jīng)過把信用卡數(shù)據(jù)轉(zhuǎn)換為符號,Samsung Pay讓黑客無法從用戶的設(shè)備中獲取到信用卡卡號。
不過這些符號并沒有幻想中的安全。門多薩的研究結(jié)果顯現(xiàn),Samsung Pay的符號化進程極為有限,且可以猜測符號的序列。先于8月4日黑帽大會的主題講演之前,門多薩在電子郵件中曾解說稱,在Samsung Pay從特定的一張信用卡上發(fā)生第一個符號之后,其符號化進程就開端變?nèi)酢_@也就意味著黑客有機會來猜測未來的符號。
黑客可以盜用Samsung Pay發(fā)生的符號,然后用它在其它設(shè)備中不受約束的進行詐騙買賣。門多薩稱,攻擊者可以從Samsung Pay設(shè)備中盜取符號,然后不受約束的運用它。他說,他曾向自己的一位墨西哥老友發(fā)送了一個符號,即便是Samsung Pay現(xiàn)在還沒有進入墨西哥商場,這位老友仍可以運用它在磁性詐騙硬件上購買產(chǎn)品。
關(guān)于怎么盜取符號的問題,門多薩稱其實進程適當(dāng)?shù)暮喡?。門多薩開發(fā)的這臺設(shè)備捆綁在自己的前臂,當(dāng)他拿起他人的手機時,這臺設(shè)備就可以經(jīng)過無線方法盜取磁性安全傳輸,然后會把盜取的符號經(jīng)過電子郵件方式發(fā)送到他的個人郵箱。然后,門多薩就可以把這個符號修改到另一部手機。