三星支付是该公司针对高端三星手机的Apple pay的答案,它存在一个安全漏洞,该漏洞可能使黑客掠过系统中存储的信用卡,然后进行欺诈性付款。Android应用程序的研究人员萨尔瓦多·门多萨 (Salvador Mendoza) 在全球最大的地下黑客大会Defcon上的一次演讲中指出了该漏洞。Mendoza概述了Samsung pay的缺陷,该缺陷使用了该公司的字母数字算法,称为标记化。三星方面否认其支付系统可能受到损害,并表示这种风险是已知的,但这种攻击不太可能被执行。
当用户将他/她的万事达卡,Visa或任何其他卡添加到Samsung pay时,系统会生成保存信用卡信息的随机令牌代码。这些令牌被保存在令牌保险库中,直到它们被移动设备使用以将它们从移动设备发送到他们希望使用Samsung pay的支付终端。这个令牌系统背后的想法是阻止某人即使找到令牌号码也无法提取卡的原始信用卡信息,从而确保原始卡的信息安全。每个令牌可以使用一次,并且仅在24小时内有效。
门多萨 (Mendoza) 在演讲中着重于这些支付令牌的拦截和制造。三星声称,由于系统以随机方式生成令牌,因此任何人都无法猜测令牌编号。这位安全研究人员声称已经找到了攻击该系统的方法,并表示他能够在MagSpoof设备的帮助下使用从Samsung pay获得的代币成功进行购买。即使令牌只能使用一次,他也声称攻击者可以猜测下一个令牌的后三位数。
另请参阅: QuadRooter漏洞使900 mn高通驱动的Android手机面临风险
在第二种情况下,如果攻击者能够在交易过程中中断付款,则令牌仍然有效。这种干扰将迫使Samsung pay生成新的令牌以供使用,而较旧的代码仍然有效。攻击者可能能够使用以前的令牌化号码进行购买。门多萨还共享了可用于此目的的干扰设备的图像。
根据该报告,解决此问题的方法是在应用程序生成新令牌后,Samsung pay尽快暂停这些令牌。该报告补充说,Samsung pay应该避免使用静态密码来加密其文件,因为有人可能会反转并利用它们。
但是,三星的帖子说,Defcon上显示的算法甚至不是用来加密支付凭据的算法,因此无法进行此类攻击。但该公司承认,掠影攻击模式一直是card networks、Samsung pay及其合作伙伴的已知问题,尽管这种攻击的可能性极低。
相关阅读
猜您喜欢
- 魅族手机丢失怎么查定位系统(电话丢了怎么定位找到)
- 国外住酒店记录网上查的到吗(宾馆能查到以前的信息吗)
- 手机关机前的最后定位如何查(怎么能找到关机的手机位置)
- Reliance LYF Wind 3与Jio 4g预览优惠从8月10日开始销售
- 科技快讯:金山股份发布2020年财报营收72.87亿元同比减少1.55%
- oppo怎么查手机定位(oppo手机怎么找定位)
- 为什么Instagram Stories可能会赢得老年观众和发展中市场
- 怎么查男朋友微信朋友圈评论别人能看到吗(查男友手机微信聊天记录)
- 小米手机怎么查别人手机定位(如何查手机定位在哪里?)
- 为什么Instagram Stories可能会赢得老年观众和发展中市场
- 电脑查微信聊天记录文件(怎么可以查聊天记录)
- 苹果手机定位查去过的地方(怎样查苹果手机位置信息)
- Pokemon Go避免了大型游戏工作室的克隆尝试
- 微信查聊天记录秒退!(微信怎样查看所有聊天记录)
- 荤腥指什么(哪些食物属于荤腥)
- 为什么Instagram Stories可能会赢得老年观众和发展中市场
图文推荐
热门文章
-
三星支付安全问题显示,但公司否认收费
通信 2022-04-10 12:35:06 -
可以查手机定位多久(如何定位他人手机位置)
数码 2022-04-10 12:05:03 -
异地怎么查女朋友微信聊天记录(有办法查到别人微信聊天记录)
评论 2022-04-10 12:04:59 -
如何不登微信查聊天记录(怎么可以查聊天记录)
手机 2022-04-10 12:04:55 -
华为荣耀手机怎么样(华为荣耀与华为的区别)
原创 2022-04-10 12:04:55 -
魅族手机丢失怎么查定位系统(电话丢了怎么定位找到)
通信 2022-04-10 12:04:50