นักวิจัยระบุพบช่องโหว่ Samsung Pay, บริษัทตอบโต้ว่าโอกาสทำได้ยากมาก

เว็บไซต์ The Register ของอังกฤษ รายงานว่าที่งานประชุม Black Hat และ DEF CON ซึ่งเป็นงานประชุมด้านความปลอดภัยทางคอมพิวเตอร์ Salvador Mendoza ซึ่งเป็นนักวิจัยด้านความปลอดภัยทางคอมพิวเตอร์ ขึ้นกล่าวบนเวที โดยระบุว่าค้นพบช่องโหว่ของระบบชำระเงิน Samsung Pay

Mendoza อธิบายว่า ตามปกติแล้วระบบชำระเงิน Samsung Pay จะสร้าง token ที่ประกอบด้วยข้อมูลสามส่วน คือข้อมูลจากบัตรเครดิตและผู้ให้บริการ (ถูกเก็บไว้ที่เครื่อง) ส่วนที่สองคือข้อมูลที่เปลี่ยนไปในแต่ละครั้งเพื่อป้องกันการโจมตี และส่วนสุดท้ายคือรหัสการอนุญาต (authentication code) ที่จะสร้างจากข้อมูลสองชุดแรก ผสานเข้ากับระบบการรักษาความปลอดภัยของเครื่อง แต่ Mendoza พบว่าอัลกอริทึมของ Samsung Pay มีการสุ่มค่า 0-9 เพียง 3 หลัก ทำให้มีความเป็นได้ที่จะถูกโจมตี

นอกจากนั้นตัวเครื่องที่มี Samsung Pay จะไม่สร้าง token ใหม่ซ้ำๆ ในช่วงเวลาที่กำหนด (ประมาณ 1 วัน) เพื่อไม่ให้มี token มากจนเกินไป และนั่นทำให้ผู้ไม่ประสงค์ดี สามารถสร้างเครื่องดักจับเอา token ที่ส่งผ่าน Samsung Pay ไปใช้ซ้ำได้ โดยใช้อุปกรณ์ขนาดเล็กที่สามารถซ่อนตัวได้ในแขนเสื้อยาวๆ ได้ ซึ่งเขาออกวิดีโอยืนยันว่าสามารถทำได้จริงๆ (วิดีโออยู่ท้ายข่าว)

หลังข่าวนี้ออกมา Samsung ปฏิเสธในตอนแรกว่าไม่จริง จากนั้นจึงออกแถลงการณ์อีกฉบับผ่านบล็อกความปลอดภัยของตัวเอง โดยระบุว่าไม่ได้ใช้อัลกอริทึมตามที่ Mendoza กล่าวแต่อย่างใด ทว่าใน FAQ ที่แนบมาพร้อมกับแถลงการณ์ Samsung ยอมรับว่ามีความเป็นไปได้ แต่โอกาสที่จะเกิดขึ้นนั้น "ยากมาก" (extremely unlikely) โดยจะต้องอยู่ในระยะประชิดมากๆ ถึงจะทำได้ และยังมีระบบความปลอดภัยอื่นๆ ที่ทำให้ Samsung Pay ปลอดภัยด้วย

ที่มา - The Register



Topics: Samsung PayNFCMobile PaymentSecurity