Samsung Pay MST再曝安全问题,盗刷当真轻而易举?


来源:移动支付网    作者:子阳    2017-10-1 19:41

近日,黑客自媒体浅黑科技报道了关于Samsung Pay被破解盗刷的视频和手法,视频演示中模拟了黑客盗取Samsung Pay的MST支付数据的过程。

(演示视频)

攻击者利用一个信号接收装置(墙上的金属圈),在一米左右的位置接收受害者手机发出的SamsungPay MST信号,拿到数据后,攻击者可利用该数据在POS机上支付消费,盗用受害者的钱财。

据了解演示来自国际顶尖网络安全团队,腾讯安全玄武实验室,且该攻击手法已被选入了国际顶级黑客大会Blackhat EU,将于12月在欧洲演讲。

然而据移动支付网了解,这已经不是SamsungPay的MST第一次被黑客攻破了。(详情见:Samsung Pay支付安全漏洞深度剖析)

来自美国加利福尼亚州莫德斯托社区学院的Salvador Mendoza针对SamsungPay的安全问题提出了四个可能被攻击的场景:1.通过社会工程学方式骗取用户生成MST磁道信息,并窃取用于盗刷;2.利用侧录设备阻断正常的支付过程,并窃取MST磁道信息用于盗刷;3.反编译出加解密代码;4.猜测下一个MST磁道信息。

这次浅黑科技所演示的SamsungPay破解盗取手段其实和早前的破解有类似之处,也就是上面所述的利用侧录设备阻断正常的支付过程,并获取MST磁道信息用于盗刷。其本质其实是将传统磁条卡盗刷的攻击方式移植到Samsung Pay上,实现攻击效果演示。

众所周知,磁条卡由于容易被复制的先天性安全问题,过去一直是犯罪分子觊觎的目标,侧录、制卡、甚至是改造ATM机等案例层出不穷,因此传统磁条卡的安全问题同样被继承到了Samsung Pay的MST上。不过此次报道的演示视频并非真实的盗刷场景,据移动支付网了解Samsung Pay的MST同样采用了标记化(Token)技术,尽管很多媒体都渲染其“Token化程度有限,可以被预测”,但是目前只是一个假设的可能攻击场景之一,并未被证实。

话虽这么说,但是安全总是相对的,尤其是在安全风险存在的情况下,鉴于目前国内的POS终端升级已经在大力实行,而且芯片卡迁移也做的不错了,所以小编建议还在使用磁条卡从尽早换成芯片卡,尽量使用银行卡的非接功能,Samsung Pay也是如此。

2017第二届移动金融安全大会业内唯一一个聚焦移动金融安全的峰会。

议程详情见大会专栏:http://www.mpaypass.com.cn/MFSC2017/

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2018 移动支付网    粤ICP备11061396号-5     粤公网安备 44030602000994号