安全專家展示攔截Samsung Pay交易代碼進行遠端信用卡盜刷

jis2577

研究人員在上周黑帽駭客年會上展示，利用攔截裝置及社交工程，攔截Samsung Pay用戶交易時由系統傳送到手機端的交易代碼，再將代碼下載到信用卡詐欺裝置，便能在店家或自動販賣機進行遠端盜刷。

Apple Pay、Samsung Pay等新式支付系統強調在手機端不儲存信用卡號碼而得以確保用戶資料安全性，但真實的情況真是如此嗎？上周在美國黑帽駭客大會上，安全研究人員展示Samsung Pay設計上的漏洞，導致用戶的信用卡被駭客遠端盜刷。
根據安全研究人員Salvador Mendoza指出，Samsung Pay的設計漏洞出現於其中使用的磁力安全傳輸技術（Magnetic Secure Transmission, MST）。此類技術將傳統磁條卡讀取機變成非接觸式支付刷卡系統。利用Samsung Pay，使用者的手機不需儲存信用卡號碼，而是儲存一組代碼（token），以減少信用卡號碼被竊的風險。
但這樣的設計有個漏洞：Samsung Pay每開啟、傳輸一次，就會回傳一組新的代碼，即使這組代碼尚未被用來購物，但在一定期間內是有效的。駭客只要攔截Samsung Pay的代碼，安裝在第三方裝置上，即可冒充手機主人刷信用卡。
安全研究人員展示在手臂上暗藏一個訊號攔截裝置，利用社交工程技術，佯請使用者示範使用Samsung Pay時加以攔截，並取代代碼以電子郵件寄出，之後再將該代碼下載到自製或網路上也買得到的信用卡詐欺裝置完成實作，即可在任何支援Samsung Pay的店家或自動販賣機完成遠端盜刷信用卡的目的。
研究人員指出，凡是有連結銀行的信用卡、簽帳卡或預付卡都有被攻擊的風險，但需要掃瞄的禮品卡則不受影響。
對此，三星未做正面回應，只表示Samsung Pay具備最進階的安全功能，配合Samsung Knox安全平台，確保所有支付資訊經過加密及安全性，並強調如果Samsung如果有任何可能的漏洞，該公司都會立即投入調查並加以解決。