Samsung 否認其行動支付平台不安全

每年在 Black Hat 會議上都有對不同的公共服務進行安全性分析，在過去的星期日，一名研究員指 Samsung 的 POS 行動支付服務 Samsung Pay 的演算法有著被駭客入侵的風險。在部落格文章中，Samsung 否認以上說法，並指他們的演算法與報告中的不一樣。

Samsung Pay 的運作方式與銀行卡晶片相似，把手機在終端機上滑過、同步，其後就會獲得一個並非由所連結銀行帳號有關的「令牌」號碼。但這號碼在每次交易都會改變，與傳統磁帶卡只有一組 6 位數字的號碼不同。

雖說「令牌」號碼與銀行帳戶沒有直接關係，但始終還是要給系統一些提示，好讓它能收款吧。所以中間就有一套運算法了，這是一組用以產生臨時號碼的方程式。在我們使用者角度，這方程式「應該是」有足夠的複雜性來抵擋駭客的破解。只是在 Black Hat 的其中一名研究員 Salvador Mendoza 卻認為自己已經瞭解了這套一次性令牌運算法的運作，並交出了三個駭客可以用來入侵的方法。其一是利用磁帶卡片來矇騙系統去產生一組令牌，然後阻礙交易來逼使系統產生另一組令牌，此時駭客就利用第一組令牌和工具來截取新令牌。

Samsung 否認 Mendoza 描述其演算法的運作，並在部落格文章中指出他們已經在 FAQ 頁面上解釋了系統是如何抵擋駭客入侵。Samsung Pay 是利用 Knox 軟體和硬體認證，再輔以 TrustZone 處理器結構來運算這些敏感資料。其後 Samsung 再補充指其行動支付服務是由多層安全系統保護著，再由與合作夥伴一起開發安全系統來偵測危險。

不過在 FAQ 頁面上，沒有對應訊息被干擾和「撤銷」未用的令牌的情況作解釋。不過 Mendoza 所建議的方法需要駭客與目標人物非常靠近，才能在後者付款被收納之前及時把訊號阻擋。不過此時，Samsung Pay 使用者應該會有所警覺發現交易有問題，而且也因為每次交易過程都會涉及到 Samsung 和銀行的欺詐分析算法，所以有關的入侵並不太可能發生。

來源: Phandroid

經由: Engadget

相關報導: "Samsung Pay: Tokenized Numbers, Flaws and Issues" (PDF)