Samsung Pay, descubierto otro problema de seguridad

Samsung Pay y su seguridad

Samsung Pay, descubierto otro problema de seguridad - Tenemos muy claro que en las oficinas de Samsung odian el nombre de Salvador Mendoza. Este experto en seguridad fue quien descubrió hace unos meses que Samsung Pay sufría un problema de seguridad por el cual los hackers podían robar los números de tarjeta de crédito de manera inalámbrica y ahora ha vuelto a la carga para anunciar que el servicio tiene otro grave problema. Eso sí, el fallo no ha sido desvelado, sino que será anunciado por el propio Mendoza en la conferencia que tendrá en la conferencia de seguridad Ekoparty de la próxima semana en Argentina.

La primera advertencia que realizó Mendoza Samsung la contrarrestó diciendo que no existía ningún riesgo y que el servicio era totalmente seguro. En ese momento el problema de seguridad se encontraba en un problema en la presencia de una vulnerabilidad en el MST, mientras que el segundo problema está relacionado con la conexión NFC (la cual seguro que recordáis que debería ser más segura).

Aunque se esperan detalles más concretos en el evento en el que hablará Mendoza, el argentino ya ha desvelado algunos datos curiosos sobre el problema de seguridad de Samsung Pay. Comenta que si quiere lo único que tiene que hacer para robar la tarjeta de crédito de un usuario de Samsung Pay es acercarse a un terminal de compra en el que esté pagando con su móvil, siempre y cuando en el terminal él tenga instalada una aplicación para interceptar la información.

¿Por qué esa app? Porque es la que se ocupa de introducirse de forma camuflada en la transmisión NFC y robar el token de autenticación una vez el cliente ha aprobado la compra con su huella dactilar o con un código PIN, justo antes del momento en el cual se lleva a cabo el procesado del pago. En ese momento al cliente le aparece en su pantalla un mensaje de error que indica que no se ha podido efectuar el pago, así que intenta volver a hacerlo de forma automática.

Lo que ocurre entonces es que se genera un segundo token y este es válido durante un periodo de 24 horas. Es ahí donde el hacker tiene la oportunidad de beneficiarse de forma completa, dado que ese token le servirá para hacer pagos en todos los lugares donde acepten conexión NFC para los pagos. Mendoza no se inventa la historia, ni mucho menos, sino que ha comprobado la efectividad de este método de robo de Samsung Pay en varias tiendas.

Compartir en Google Plus

Acerca de Alulus

  • WordPress Comentarios
  • Facebook Comentarios