來源:移動支付網作者:子陽2017-10-1 19:41
近日,黑客自媒體淺黑科技報道瞭關於Samsung Pay被破解盜刷的視頻和手法,視頻演示中模擬瞭黑客盜取Samsung Pay的MST支付數據的過程。
(演示視頻)
攻擊者利用一個信號接收裝置(墻上的金屬圈),在一米左右的位置接收受害者手機發出的SamsungPay MST信號,拿到數據後,攻擊者可利用該數據在POS機上支付消費,盜用受害者的錢財。
據瞭解演示來自國際頂尖網絡安全團隊,騰訊安全玄武實驗室,且該攻擊手法已被選入瞭國際頂級黑客大會Blackhat EU,將於12月在歐洲演講。
然而據移動支付網瞭解,這已經不是SamsungPay的MST第一次被黑客攻破瞭。(詳情見:Samsung Pay支付安全漏洞深度剖析)
來自美國加利福尼亞州莫德斯托社區學院的Salvador Mendoza針對SamsungPay的安全問題提出瞭四個可能被攻擊的場景:1.通過社會工程學方式騙取用戶生成MST磁道信息,並竊取用於盜刷;2.利用側錄設備阻斷正常的支付過程,並竊取MST磁道信息用於盜刷;3.反編譯出加解密代碼;4.猜測定量填充機下一個MST磁道信息。
這次淺黑科技所演示的SamsungPay破解盜取手段其實和早前的破解有類似之處,也就是上面所述的利用側錄設備阻斷正常的支付過程,並獲取MST磁道信息用於盜刷。其本質其實是將傳統磁條分料機卡盜刷的攻擊方式移植到Samsung Pay上,實現攻擊效果演示。
眾所周知,磁條卡由於容易被復制的先天性安全問題,過去一直是犯罪分子覬覦的目標,側錄、制卡、甚至是改造ATM機等案例層出不窮,因此傳統磁條卡的安全問題同樣被繼承到瞭Samsung Pay的MST上。不過此次報道的演示視頻並非真實的盜刷場景,據移動支付網瞭解Samsung Pay的MST同樣采用瞭標記化(Token)技術,盡管很多媒體都渲染其 Token化程度有限,可以被預測 ,但是目前隻是一個假設的可能攻擊場景之一,並未被證實。
話雖這麼說,但是安全總是相對的,尤其是在安全風險存在的情況下,鑒於目前國內的POS終端升級已經在大力實行,而且芯片卡遷移也做的不錯瞭,所以小編建議還在使用磁條卡從盡早換成芯片卡,盡量使用銀行卡的非接功能,Samsung Pay也是如此。
分料機推薦
文章標籤
全站熱搜
留言列表
