Error de pago de Samsung que podría ser explotado por piratas informáticos

seguridad pos Tiempo de leer: 3 minutos

Según los informes, Samsung Pay tiene fallas de seguridad, tan graves como Seguridad POS fallas, que podrían ayudar a los piratas informáticos a robar tarjetas de crédito de forma inalámbrica y realizar transacciones fraudulentas.

los piratas informáticos

El investigador de seguridad Salvador Mendoza, quien ha descubierto las limitaciones en la seguridad de Samsung Pay, ha explicado que estas limitaciones podrían ser utilizadas por un hacker en cualquier otro teléfono para realizar pagos fraudulentos.

Muchos teléfonos Samsung nuevos tienen un sistema de pago sin contacto con base magnética que convierte los datos de la tarjeta de crédito en tokens. Esto se hace para evitar el robo de números de tarjetas de crédito por parte de piratas informáticos. Pero estos tokens pueden ser robados y luego utilizados en otro hardware por cualquier pirata informático para realizar compras o pagos fraudulentos.

Salvador Mendoza, quien es un estudiante universitario de ciencias de la computación, también es investigador. Había hecho una presentación sobre este tema perteneciente a Samsung Pay en la conferencia Black Hat 2016 en Las Vegas, ha dejado en claro que el sistema de generación de tokens no es tan seguro como podríamos creer. El proceso de tokenización se debilita una vez que se genera el primer token a partir de una tarjeta específica. Por tanto, podría resultar fácil predecir las fichas consiguientes de esa carta.

Por lo tanto, cualquier pirata informático puede robar fácilmente un token de un dispositivo Samsung Pay y usarlo en otro hardware para realizar transacciones fraudulentas. Funciona casi como un robo de identidad de algún tipo, ¿no?

Salvador Mendoza describe esto en un video de YouTube, que está en español y con subtítulos en inglés, sobre cómo se puede explotar la falla de Samsung Pay. Lo demuestra usando un dispositivo Samsung Galaxy S6. Utiliza un artilugio atado al antebrazo para obtener los tokens de forma inalámbrica, que luego pueden enviarse por correo electrónico a su bandeja de entrada. Explica que los tokens así adquiridos se pueden compilar en otro teléfono para realizar una compra. También demuestra cómo se pueden realizar compras cargando el token en un dispositivo MagSpoof casero y tosco.

En su presentación de Black Hat, Salvador Mendoza dice: “Con Magspoof, realicé compras con éxito con tokens obtenidos de Samsung Pay. Sin embargo, no pude reutilizarlos. Cada ficha que pasa, se quema. Entonces no hay forma de reutilizarlo repetidamente. Sin embargo, un atacante podría intentar adivinar los últimos 3 dígitos del siguiente token. Al analizar muchas entradas, un atacante puede limitarse a un rango pequeño de posibles tokens futuros ".

También analiza otro escenario en su presentación: “Otro escenario posible podría ser si un cliente de Samsung intenta usar Samsung Pay pero algo sucede en el medio de la transacción, y esto no se lleva a cabo, ese token sigue vivo. Lo que significa que un atacante podría bloquear el proceso de transacción para hacer que Samsung Pay fallara y forzarlo a generar el siguiente token. Entonces el atacante podrá usar el número tokenizado anterior para realizar una compra sin restricciones ”.

Salvador Mendoza también sugiere soluciones para el problema en su presentación: “Samsung Pay tiene que trabajar más duro en la fecha de vencimiento del token, para suspenderlos lo más rápido posible después de que la aplicación genere uno nuevo, o la aplicación puede eliminar los tokens que no estaban implementado para realizar una compra. Además, Samsung Pay debe evitar el uso de contraseñas estáticas para "encriptar" sus archivos y bases de datos con la misma función porque eventualmente alguien podría revertirlas y explotarlas. Las bases de datos son muy sensibles. Contienen información delicada para actualizar el estado del token, las instrucciones de conexión del servidor y los certificados de validación ".

Esto definitivamente es algo que debe tomarse en serio, tan en serio como Seguridad POS y un robo de identidad.

PRUEBE LA SEGURIDAD DE SU CORREO ELECTRÓNICO OBTENGA SU TARJETA DE SEGURIDAD INSTANTÁNEA GRATIS Fuente: https://blog.comodo.com/comodo-news/samsung-pay-flaw-that-could-be-exploited-by-hackers/

Inteligencia de datos generativa

Samsung Pay falla que podría ser explotada por los piratas informáticos

Bolsa de Valores de Londres presentará listados de inversiones NFT – CryptoInfoNet

BlackRock, Fidelity y Bitwise Bitcoin ETF obtienen 205 millones de dólares de Pine Ridge Advisers de Nueva York

Información más reciente

Wisconsin se convierte en el primer estado de EE. UU. en realizar una mega inversión en ETF al contado de Bitcoin

Kenson Investments brinda a sus clientes orientación técnica personalizada en el panorama de los criptoactivos

Crypto Old-Head Otoh habla sobre Bitcoins de Casascius, paraísos fiscales y viejos amigos

La industria de las criptomonedas demuestra influencia en las elecciones del Congreso al abogar por un entorno regulatorio favorable – CryptoInfoNet

El indexador de datos Subsquid planea lanzar el token SQD el viernes

La cadena Degen vuelve a estar en línea después de una interrupción de 50 horas – The Defiant