BAQUIA

Un hacker desafía el sistema de seguridad de Samsung Pay

Tras desembarcar en Europa el nuevo método de pago por móvil de la multinacional surcoreana, se descubren maneras para engañar la seguridad de Samsung Pay a la hora de realizar compras.

En la DEF CON (la mayor convención de hackers) de este 2016 ya se han demostrado fallos en las tecnologías más punteras como en los sensores del Telsa S, pero los hackers no se han detenido ahí, ya que otro investigador ha descubierto un método para cargar compras a otro usuario por medio de Samsung Pay.

Aunque no está disponible en México, en este video Salvador Mendoza muestra cómo un amigo suyo realiza una compra con la cuenta de Mendoza, utilizando uno de sus ‘tokens’.

Salvador Mendoza ha mostrado en su ponencia los fallos de este nuevo sistema. Los incursiones que realizó se centraron en interceptar o fabricar ‘tokens‘, códigos que el smartphone del usuario genera como los datos de la tarjeta de crédito necesarios a la hora de realizar el pago; los cuales expiran a las 24 horas de ser generados y son de uso único.

Si un atacante analiza los tokens muy cuidadosamente, puede llegar a descubrir un método para adivinarlos.

Mendoza ha asegurado haber encontrado patrones en la generación de ‘tokens’ que hacen posible que cualquier hacker pueda crear los suyos propios.

La respuesta de Samsung no se ha hecho de esperar, y ya han subido un post donde alegan que “no se utiliza el algoritmo utilizado en la presentación para cifrar las credenciales de pago”. Si bien, admiten que los nuevos métodos de pago mobile generan nuevos riesgos, y tal y como explican en su apartado de Preguntas Frecuentes, sí habría posibilidad de engañar la seguridad de Samsung Pay y realizar un pago fraudulento, aunque este proceso es “extremadamente difícil” de realizar.

La dificultad reside en que el hacker debe estar físicamente cerca de su objetivo mientras realiza una compra para meterse en la señal del smartphone y el terminal de pagos, copiar el ‘token’ y utilizarlo antes de que la víctima realice la compra. Lo que no contempla Samsung es que el cibercriminal monte un falso terminal de pagos.


Compartir en :


Noticias relacionadas




Comentarios