contadores Skip to content

Samsung Pay: ett kryphål medger användarens pengar

Samsung Pay

Alla börjar kontaktlös betalning med samma metod: tokens. Varje gång en betalning håller på att göras skapar smarttelefonen en unik token som skickas till säljaren. När transaktionen har validerats är token inte längre giltig. Så en hackare kan inte göra något med det, även om han på något sätt lyckas få tillbaka den.

Samsung Pay använder detta system och ett kryphål har hittats. Salvador Mendoza, en säkerhetsforskare, har presenterat en metod som låter dig återställa en token som ännu inte har använts och som är giltig i 24 timmar.

När Samsung Pay lanseras på smarttelefonen skapas därför en token. Men om den inte används hos säljaren raderas den inte och förblir framför allt giltig. Principen består därför i att skapa en token och sedan återställa den med ett specifikt verktyg. Token kan således användas senare utan problem. Värre, token kan överföras till en annan enhet, som sedan kan använda den som om den ursprungligen hade varit där.

Kontaktad av ZDNet har Samsung inte bekräftat om det gör vad som är nödvändigt för att förhindra att denna praxis händer igen. Men han noterade “Om det finns ett säkerhetsbrott när som helst kommer vi att agera snabbt för att undersöka och rätta till problemet”.