Исследователь Сальвадор Мендоза (Salvador Mendoza) на прошлой неделе выступил на конференции Black Hat с докладом, в котором рассказал о небезопасности платежной системы Samsung Pay. Однако компания Samsung заявляет, что изыскания Мендозы ошибочны, а с Samsung Pay все в порядке, хотя исследователь дважды представил доказательства обратного.
Отчет (PDF), с которым Мендоза выступил на Black Hat, сконцентрирован вокруг того, как приложение Samsung Pay генерирует и использует токены для авторизации и выполнения транзакций. Исследователь заявил, что злоумышленники могут предсказать, каким будет следующий токен, основываясь на предыдущих токенах, уже сгенерированных приложением. К тому же Мендоза утверждает, что токены Samsung Pay «живут» не менее 24 часов, даже если пользователь их не использовал, а также в случае если пользователь уже сгенерировал другие токены. Такие токены атакующий может извлечь и использовать самостоятельно.
В доказательство своей теории, исследователь создал миниатюрное устройство, которое можно, к примеру, закрепить за запястье или скрыть под одеждой. Девайс способен перехватывать и извлекать токены из Samsung Pay по мере их генерации. После того, как дело сделано, злоумышленник может воспользоваться устройством, подобным MagSpoof, и использовать похищенную информацию для проведения мошеннических транзакций.
Все доказательства и исходные коды Мендоза разместил на GitHub. Также исследователь снял видео, иллюстрирующее фазы атаки и даже последующее использование MagSpoof для оплаты:
Кроме двух уязвимостей, связанных с токенами, исследователь обнаружил, что Samsung использует статичные пароли для шифрования файлов приложения и баз данных. Мендоза смог отреверсить пароли и получить доступ к закрытым данным.
«Базы данных содержат важную информацию, — пишет исследователь. — В них содержатся данные об обновлениях статуса токена, инструкции соединения с сервером и данные для валидации сертификатов».
Хотя Мендоза утверждает, что он уведомил Samsung о проблемах еще 12 мая 2016 года, теперь компания предпочитает все отрицать. В ответ на выкладки Мендозы компания Samsung опубликовала на своем сайте официальное опровержение его исследований, затем еще одно, а после выпустила полноценный пресс-релиз. По сути, компания неохотно признала, что подобная атака возможна в теории, но на практике злоумышленнику придется вплотную подобрать к жертве (физически), а также придется заблокировать передачу оригинального сообщения с ее телефона. Все это в сумме Samsung считает крайне маловероятным.
«Мы хотели бы пояснить, что система Samsung Pay построена с использованием в высшей степени безопасных технологий и является самым распространенным мобильным платежным решением из всех доступных в настоящий момент. Недавние заявления о том, что Samsung Pay содержит уязвимости — это попросту неправда. Samsung Pay использует многослойную систему безопасности, которая работает в тандеме с системами безопасности наших партнеров, и выявляет любые возникающие угрозы, — пишет Samsung. — Скимминговая модель атак является известной проблемой, с которой сталкивались платежные сети, Samsung Pay и ее партнеры сочли этот потенциальный риск приемлемым, учитывая невероятно низкую вероятность успешного осуществления атаки с токенами».
В ответ на эти заявления Samsung исследователь записал новое видео, которое демонстрирует еще больше деталей атаки и доказывает, что она все же возможна, уязвимости на месте, а вероятность атаки явно не стоит считать столь уж низкой.