تصر Samsung على أن Samsung Pay ، وهي تقنية الدفع عبر الهاتف المحمول القائمة على NFC والمدمجة في العديد من هواتف Galaxy الذكية وغيرها من الأجهزة ، آمنة تمامًا بنسبة 100 بالمائة. باستثناء ، كما تعلم ، عندما لا يكون كذلك. كانت الشركة في موقف دفاعي بعد العروض التقديمية في مؤتمري Black Hat و DEF CON الأمنيين الأسبوع الماضي بالتفصيل كيف أن Samsung Pay عرضة لهجمات القشط.

الائتمان: Leszek Kobusinski / Shutterstock.com
(رصيد الصورة: Leszek Kobusinski / Shutterstock.com)

أ عرض, ورق ابيض وسلسلة مقاطع فيديو YouTube من الباحث الأمني ​​في كاليفورنيا سلفادور ميندوزا ، زعم أنه من الممكن سرقة وإعادة استخدام الرموز المميزة لتفويض الدفع التي تم إنشاؤها بواسطة Samsung Pay. يقول Mendoza إن هذا يرجع إلى أن الرموز المميزة لا تحتوي على تواريخ انتهاء الصلاحية ، مما يعني أنها تستغرق 24 ساعة حتى تنتهي صلاحيتها ، مما يمنح الأوغاد وقتًا لإعادة استخدام الرموز المميزة.

أكثر: دليل أمان الهاتف المحمول: كل ما تريد معرفته

يعمل Samsung Pay على نطاق واسع مثل بطاقات الائتمان التي تدعم تقنية NFC أو Apple Pay ، حيث تضع جهازك فوق قارئ ، ثم تقوم التقنية بمعالجة الدفعة المطلوبة بعد المصادقة باستخدام رقم التعريف الشخصي أو بصمة. على عكس الشريط الممغنط الموجود على بطاقات الائتمان ، والذي يحمل رقم حساب ثابتًا مكونًا من 16 رقمًا وينقله ، Samsung Pay يقوم بإنشاء ونقل رقم "رمز مميز" مؤقت مرتبط بحسابك المالي ويمكن استخدامه فقط ذات مرة.

ومع ذلك ، قال ميندوزا إن الخوارزمية المستخدمة لإنشاء تلك الرموز يسهل اختراقها. اكتشف أن الأرقام الأربعة إلى الستة الأخيرة فقط من الرموز تتغير فعليًا من معاملة إلى أخرى ، مما يجعلها عرضة لهجمات القوة الغاشمة.

يمكن أيضًا التقاط رموز Samsung Pay وإعادة استخدامها. في مقطع فيديو تم تصويره ونشره على موقع يوتيوب أمس (أغسطس. 9) ، يرسل Mendoza رمزًا مميزًا من هاتف Samsung الخاص به إلى قارئ البطاقات المصنوع يدويًا ، والذي يتم توصيله بمنفذ USB لجهاز MacBook Pro. ينبثق الرمز المميز على شاشة MacBook ، ويقوم Mendoza بنسخه ولصقه في تطبيق منفصل مصمم للعمل مع ماجسبوف، جهاز صممه مخترق الأجهزة الشهير سامي كامكار لمحاكاة الضربات الشديدة على شريط مغناطيسي لبطاقات الائتمان.

ثم تقوم Mendoza بتشغيل جهاز Magspoof ، وتنقل لاسلكيًا رمز Samsung Pay المميز إلى Magspoof ، وتنتقل إلى آلة صودا واشترت صودا بنجاح باستخدام Magspoof ، مما يوفر رمز Samung Pay المميز كرصيد بطاقة. يُصرح بشراء البطاقة ، ويتلقى Mendoza إشعارًا على هاتفه يفيد بأنه تم الشراء باستخدام Samsung Pay.

سيتطلب سيناريو النشل الرقمي هذا أن يكون المهاجم قريبًا جدًا ، ربما بضع بوصات فقط ، من هاتف Samsung الخاص بك ، لكن هذا ليس صعبًا تمامًا في متجر مزدحم. المهم هو أنه لا يمكن استخدام الرمز المميز الذي تم التقاطه إلا مرة واحدة - يجب على السارق استخدامه قبل أن يستخدمه المستخدم الشرعي.

أشار Mendoza إلى أنه يمكن سرقة الرموز المميزة عن طريق مقاطعة عملية الدفع ، حيث لا يحاول Samsung Pay إعادة استخدام الرمز المميز الأصلي ، ولكنه يقوم بدلاً من ذلك بإنشاء رمز جديد. ومع ذلك ، تذكر أنه لا يوجد سوى أربعة إلى ستة أرقام مهمة حقًا في كل رمز. قد يكون من الممكن إنشاء رموز جديدة صالحة.

سامسونج تستجيب بثقة ، بعلامة النجمة

في بيان، قالت سامسونج ، "التقارير الأخيرة التي تشير إلى أن Samsung Pay معيب هي ببساطة غير صحيحة" ، واستمرت في توضيح أن "Samsung Pay يستخدم نظام أمان متعدد الطبقات يعمل جنبًا إلى جنب مع أنظمة الأمان لشركائنا لاكتشاف أي تهديدات ناشئة ".

ولكن في التعليمات تم إصداره للصحافة في 7 أغسطس ، أنهت Samsung شرحًا مطولًا لتقنية أمان Knox وغيرها من وسائل الحماية مع a عدم الإنكار: "باختصار ، تجعل طبقات الأمان المتعددة في Samsung Pay من الصعب للغاية إجراء عملية شراء عن طريق تخطي رمز ".

يمكن القول ، "صعب للغاية" ليس مثل "مستحيل". لا يمكن لأي تقنية أن توفر المستحيل للكسر الأمان ، ولكن من الواضح أن هذا يمكن تحليله لأن Samsung تعترف بأن الباحثين مثل Mendoza موجودون شيئا ما.

أضافت الأسئلة الشائعة عن Samsung: "لقد كان نموذج هجوم القشط هذا مشكلة معروفة تمت مراجعتها من قبل شبكات البطاقات". "اعتبر Samsung Pay وشركاؤنا أن هذه المخاطر المحتملة مقبولة بالنظر إلى الاحتمالية المنخفضة للغاية لهجوم ترحيل الرمز المميز الناجح. تقوم شبكات البطاقات وجهات إصدارها أيضًا بتشغيل خوارزميات منع الاحتيال الخاصة بهم في جميع محاولات الدفع ، بما في ذلك Samsung Pay. هذا بمثابة طبقة أخرى من الحماية ضد ترحيل الرمز ".

إذا كنت تستخدم Samsung Pay ، فاتبع الخطوات البسيطة لحماية نفسك والتي ربما كان عليك القيام بها بالفعل. قم دائمًا بإجراء مراجعة تفصيلية لبيانات بطاقة الائتمان الشهرية الخاصة بك ، واتصل بمصدري البطاقة إذا لاحظت أي رسوم احتيالية.

  • من المحتمل أن ترتكب 12 أخطاء تتعلق بأمن الكمبيوتر
  • أفضل (وأسوأ) حماية من سرقة الهوية
  • ينتن أمان جهاز التوجيه الخاص بك: إليك كيفية إصلاحه

احصل على وصول فوري إلى الأخبار العاجلة وأحدث المراجعات والصفقات الرائعة والنصائح المفيدة.

شكرًا لك على الاشتراك في دليل Tom. سوف تتلقى رسالة بريد إلكتروني للتحقق قريبا.

كان هناك مشكلة. يرجى تحديث الصفحة وحاول مرة أخرى.

لا بريد مزعج ، نحن نعد. يمكنك إلغاء الاشتراك في أي وقت ولن نشارك بياناتك مطلقًا دون إذنك.