Samsung 否認其行動支付平台不安全

他們指「自己的演算法與報告描述的不相乎。」

Eric Chan
Eric Chan
2016年08月10日, 下午 02:00
0分享次數
FacebookTwitter
每年在 Black Hat 會議上都有對不同的公共服務進行安全性分析,在過去的星期日,一名研究員指 Samsung 的 POS 行動支付服務 Samsung Pay 的演算法有著被駭客入侵的風險。在部落格文章中,Samsung 否認以上說法,並指他們的演算法與報告中的不一樣。

Samsung Pay 的運作方式與銀行卡晶片相似,把手機在終端機上滑過、同步,其後就會獲得一個並非由所連結銀行帳號有關的「令牌」號碼。但這號碼在每次交易都會改變,與傳統磁帶卡只有一組 6 位數字的號碼不同。

雖說「令牌」號碼與銀行帳戶沒有直接關係,但始終還是要給系統一些提示,好讓它能收款吧。所以中間就有一套運算法了,這是一組用以產生臨時號碼的方程式。在我們使用者角度,這方程式「應該是」有足夠的複雜性來抵擋駭客的破解。只是在 Black Hat 的其中一名研究員 Salvador Mendoza 卻認為自己已經瞭解了這套一次性令牌運算法的運作,並交出了三個駭客可以用來入侵的方法。其一是利用磁帶卡片來矇騙系統去產生一組令牌,然後阻礙交易來逼使系統產生另一組令牌,此時駭客就利用第一組令牌和工具來截取新令牌。

Samsung 否認 Mendoza 描述其演算法的運作,並在部落格文章中指出他們已經在 FAQ 頁面上解釋了系統是如何抵擋駭客入侵。Samsung Pay 是利用 Knox 軟體和硬體認證,再輔以 TrustZone 處理器結構來運算這些敏感資料。其後 Samsung 再補充指其行動支付服務是由多層安全系統保護著,再由與合作夥伴一起開發安全系統來偵測危險。

不過在 FAQ 頁面上,沒有對應訊息被干擾和「撤銷」未用的令牌的情況作解釋。不過 Mendoza 所建議的方法需要駭客與目標人物非常靠近,才能在後者付款被收納之前及時把訊號阻擋。不過此時,Samsung Pay 使用者應該會有所警覺發現交易有問題,而且也因為每次交易過程都會涉及到 Samsung 和銀行的欺詐分析算法,所以有關的入侵並不太可能發生。
標籤: BlackHat, BlackHatConference, gear, mobile, samsung, samsungpay
0分享次數
FacebookTwitter