Samsung Pay MST再曝安全问题,盗刷当真轻而易举?
近日,黑客自媒体浅黑科技报道了关于Samsung Pay被破解盗刷的视频和手法,视频演示中模拟了黑客盗取Samsung Pay的MST支付数据的过程。
(演示视频)
攻击者利用一个信号接收装置(墙上的金属圈),在一米左右的位置接收受害者手机发出的SamsungPay MST信号,拿到数据后,攻击者可利用该数据在POS机上支付消费,盗用受害者的钱财。
据了解演示来自国际顶尖网络安全团队,腾讯安全玄武实验室,且该攻击手法已被选入了国际顶级黑客大会Blackhat EU,将于12月在欧洲演讲。
然而据移动支付网了解,这已经不是SamsungPay的MST第一次被黑客攻破了。(详情见:Samsung Pay支付安全漏洞深度剖析)
来自美国加利福尼亚州莫德斯托社区学院的Salvador Mendoza针对SamsungPay的安全问题提出了四个可能被攻击的场景:1.通过社会工程学方式骗取用户生成MST磁道信息,并窃取用于盗刷;2.利用侧录设备阻断正常的支付过程,并窃取MST磁道信息用于盗刷;3.反编译出加解密代码;4.猜测下一个MST磁道信息。
这次浅黑科技所演示的SamsungPay破解盗取手段其实和早前的破解有类似之处,也就是上面所述的利用侧录设备阻断正常的支付过程,并获取MST磁道信息用于盗刷。其本质其实是将传统磁条卡盗刷的攻击方式移植到Samsung Pay上,实现攻击效果演示。
众所周知,磁条卡由于容易被复制的先天性安全问题,过去一直是犯罪分子觊觎的目标,侧录、制卡、甚至是改造ATM机等案例层出不穷,因此传统磁条卡的安全问题同样被继承到了Samsung Pay的MST上。不过此次报道的演示视频并非真实的盗刷场景,据移动支付网了解Samsung Pay的MST同样采用了标记化(Token)技术,尽管很多媒体都渲染其“Token化程度有限,可以被预测”,但是目前只是一个假设的可能攻击场景之一,并未被证实。
话虽这么说,但是安全总是相对的,尤其是在安全风险存在的情况下,鉴于目前国内的POS终端升级已经在大力实行,而且芯片卡迁移也做的不错了,所以小编建议还在使用磁条卡从尽早换成芯片卡,尽量使用银行卡的非接功能,Samsung Pay也是如此。
2017第二届移动金融安全大会业内唯一一个聚焦移动金融安全的峰会。
议程详情见大会专栏:http://www.mpaypass.com.cn/MFSC2017/