Giỏ hàng (Samsung Pay có nguy cơ bị hacker đánh cắp thẻ tín dụng
10/08/2016 00:00Theo một chuyên gia bảo mật Mỹ cho rằng Samsung Pay đang có một lỗ hổng thanh toán mà các hacker có thể khai thác và lợi dụng để đánh cắp thẻ tín dụng dễ dàng.
So với Android Pay hay Apple Pay, Samsung Pay có ưu thế hơn nhờ khả năng thanh toán thông qua máy thanh toán thẻ từ nhờ ứng dụng công nghệ Truyền dữ liệu An toàn qua Từ tính (Magnetic Secure Transmission - MST) do chính Samsung phát triển, thay vì chỉ máy NFC như 2 dịch vụ của Google và Apple. Điều này giúp khách hàng Samsung có thể giao dịch thẻ ở nhiều cửa hàng hơn, thay vì bị giới hạn ở những nơi chỉ được trang bị máy NFC. Tuy nhiên, phương thức thanh toán riêng này cũng tiềm ẩn nguy cơ riêng như khả năng bị đánh cắp tài khoản thẻ tín dụng.
Tại hội nghị bảo mật Black Hat ở Las Vegas (Mỹ) ngày 5/8 mới đây, chuyên gia bảo mật Salvador Mendoza đã chỉ ra rằng, các dữ liệu mã hóa thanh toán của Samsung Pay không quá phức tạp nên rất có thể bị dự đoán, nếu nó bị theo dõi trong một khoảng thời gian nhất định. Hay nói cách khác, kẻ gian có thể bí mật theo dõi các dữ liệu giao dịch, sau đó sử dụng chúng để thực hiện các giao dịch gian lận khác mà không cần đến các thủ thuật tấn công phức tạp.
Mendoza cũng cho biết:"Tokenization là quá trình thay thế dữ liệu nhạy cảm bằng các ký hiệu nhận dạng duy nhất nhằm giữ lại tất cả thông tin cần thiết về dữ liệu mà không ảnh hưởng đến vấn đề an toàn. Tuy nhiên, quá trình này yếu dần sau khi ứng dụng nhận dạng một thẻ cụ thể, tức là nó sẽ dễ dàng bị dự đoán trong tương lai".
Theo Mendoza, kẻ xấu có thể đánh cắp mã thông báo từ Samsung Pay dễ dàng và sử dụng nó nhiều lần. Để chứng minh, ông đã gửi mã thông báo đến cho người bạn của mình ở Mexico. Tại nơi làm việc, ông tự tạo ra một thiết bị tạm thời đeo ở cổ tay để theo dõi các hoạt động đó. Thiết bị ứng dụng MST để lấy dữ liệu của một chiếc điện thoại khác đang sử dụng Samsung Pay để giao dịch, sau đó gửi về hộp thư của Mendoza. Tiếp theo, các dữ liệu sẽ được nạp vào thiết bị khác có tên MagSpoof, vốn khá phổ biến và dễ chế tạo. Cuối cùng, ông dùng MagSpoof lại gần một máy bán hàng tự động và mua hàng mà không gặp phải trở ngại nào.
"Tất cả thẻ tín dụng, thẻ ghi nợ, thẻ trả trước hoặc trả sau từ bất kỳ ngân hàng nào cũng đều bị ảnh hưởng bởi loại tấn công này trừ thẻ quà tặng", Mendoza nhấn mạnh.
Sau khi được cảnh báo, Samsung trả lời như sau: "Samsung Pay được xây dựng với các tính năng bảo mật tiên tiến nhất, đảm bảo tất cả các thông tin thanh toán của người dùng được mã hóa và lưu giữ an toàn. Tuy nhiên, đội ngũ kỹ thuật đang xem xét vấn đề mà Mendoza đưa ra và nếu đây là lỗ hổng tiềm năng, chúng tôi sẽ khắc phục sớm".
- Theo Vnexpress -
