Samsung платить по сообщениям в защите, так же серьезно, как пос безопасность недостатки, которые могут помочь хакерам обезжиренное кредитных карт по беспроводной сети и совершать мошеннические сделки.

Исследователь безопасности Сальвадор Мендоза, который обнаружил недостатки в системе безопасности Samsung платят, пояснил, что указанные ограничения могут быть использованы хакером в любом другом телефоне, чтобы сделать мошеннических платежей.

Многие новые телефоны Samsung имеют магнитной основе бесконтактной платежной системы, которая преобразует данные кредитной карты на маркеры. Это сделано с целью предотвращения кражи номеров кредитных карт хакерами. Но эти маркеры могут быть украдены и затем использован в другое оборудование любой хакер для мошеннических покупок или платежей.

Сальвадор Мендоза, который является студентом факультета компьютерных наук колледжа, слишком исследователя. Он выступил с докладом по этому вопросу, касающиеся Samsung заплатить на конференции хакеров 2016 в Лас-Вегасе, стало ясно, что система генерации токенов не так безопасен, как мы могли верить, чтобы это было. Процесс токенизации становится слабее после того, как первый маркер генерируется с определенной карточки. Таким образом, он может стать легко предсказать последующее маркеры с карты.

Таким образом, любой хакер может легко украсть токен с устройством Samsung и использовать в другое оборудование для мошеннических операций. Работает почти как кражи рода, не так ли?

Сальвадор Мендоса описано в видео на YouTube, которое на испанском языке и с английскими субтитрами, как обратить недостаток Samsung может быть использована. Он демонстрирует его с помощью Samsung Galaxy устройства С6. Хитрое привязали предплечья используется им для беспроводного приобрести жетоны, которые затем можно по электронной почте на его почтовый ящик. Он объясняет, что маркеры закупленных таким образом можно скомпилировать в другой телефон, чтобы сделать покупку. Он также демонстрирует, как покупок может быть сделано путем загрузки жетон в сырой, самодельные устройства MagSpoof.

В его черных презентация шляпа, Сальвадор Мендоса говорит- “с Magspoof, я успешно делал покупки жетонов полученных от Samsung заплатить. Однако, я не мог использовать их. Каждый маркер, который проходит, он прогорит. Так что нет никакого способа, чтобы повторно использовать его. Тем не менее, злоумышленник может попытаться угадать последние 3 цифры следующего маркера. Анализируя количество записей, злоумышленник может сузится до небольшой диапазон возможных будущих маркеров”.

Он также рассматривает еще один сценарий в своем выступлении- “еще один возможный сценарий может быть, если Samsung клиент пытается использовать Samsung заплатить, но что-то происходит в середине транзакции, и это не проходит, что маркер еще жив. Это означает, что злоумышленник может заблокировать процесс сделки, чтобы заставить Samsung заплатить не удалось, и силы его для создания следующего маркера. Таким образом, злоумышленник сможет использовать предыдущий размечается количество, чтобы сделать покупку без каких-либо ограничений”.

Сальвадор Мендоса также предлагает решения для этот вопрос в своем выступлении- “Samsung выплатить работает в усиленном режиме в знак срока годности, приостанавливать их как можно быстрее после того, как приложение создает новый или приложение может утилизировать маркеры, которые не были реализованы, чтобы сделать покупку. Также Samsung платить должен избегать использования статических паролей, чтобы “шифровать” свои файлы и базы данных с такой же функцией, потому что в конце концов кому-то удастся обратить его и эксплуатировать их. Базы данных очень чувствительны. В них содержится деликатная информация для обновления статуса маркер, инструкция подключения к серверу и сертификат подлинности”.

Это, безусловно, надо относиться серьезно, так же серьезно, как пос безопасности и кражи личных данных.