Одним из приоритетных направлений работы южнокорейской компании Samsung является продвижение на иностранные рынки сбыта не только мобильных устройств – смартфонов – но и соответствующих сервисов, упрощающих ежедневное использование аппаратов. Один из них – Samsung Pay. Но, как оказалось, в Samsung Pay есть уязвимость, позволяющая красть данные кредитных карт.
Какие требования пользователи выдвигают абсолютно ко всем сервисам? Популярность? Не думаю. Комфортность использования? Разумеется, но не в первую очередь. Надежность и безопасность? А в этот раз прямо в точку! Именно безопасность использования абсолютно любого сервиса для смартфона является залогом успеха этого самого сервиса. Если в первые секунды атаки хакеров защита сервиса падает перед ними ниц – все, пользователи предпочтут альтернативу.
В преддверии запуска Samsung Pay целевая аудитория усомнилась в его надежности. Вот, что стало предысторией. В Лас-Вегасе проводилась конференция под названием Black Hat. Пользователи, мало-мальски знающие английский язык и владеющие минимальной логикой сразу раскусят суть и поймут, что посвящена конференция была не чему иному, как вопросам безопасности.
Суть претензии рассказчика, посвятившего свой доклад процессу обработки данных банковских карт со стороны Samsung Pay, заключалась в следующем. Сервис анализирует данные, после чего переводит их в токены, перехватить или украсть которые злоумышленник не в силах. Но, по словам докладчика (Сальвадора Мендоса), токены можно предсказать, сгенерировать случайно.
Компания Samsung дала официальный комментарий по заявлению Мендоса. Специалисты считают, что генерацию токена можно считать угрозой, но только “допустимой”, поскольку действия злоумышленника будут бесполезны при соблюдении хотя бы одного из условий:
- Если он не отговорит пользователя совершить покупку после аутентификации
- Если сигнал смартфона пользователя после аутентификации не будет заглушен
В противном случае злоумышленник не сможет использовать даже сгенерированный токен для достижения корыстных целей.