三星对近期关于其支付服务存在安全漏洞的报道发表声明,称并“不准确”。
多家媒体报道在2016黑帽大会上,安全研究员Salvador Mendoza成功展示从三星支付APP中获取口令,并使用口令进行欺诈交易。
攻击者可以从三星支付APP中获取支付口令
Mendoza的研究关注点在三星支付APP如何产生并使用口令进行授权和金融交易。他表示攻击者可以根据APP过去产生的口令预测未来的口令。
他解释称,这款APP产生的口令至少在24小时内都有效,即使之后用户已经产生第二个口令进行其他交易。
攻击者可以获取到并使用口令进行金融交易,使用受害者的支付卡付费。
两款小设备就可以成功进行欺诈交易
Mendoza发明了一款小设备可以佩戴在手腕上,可在APP产生口令的过程中截取到口令。
一旦攻击者从受害者手机偷取口令成功,就可以使用MagSpoof的修改版进行欺诈交易。MagSpoof是一款信用卡磁条仿造器。
三星支付APP使用硬编码密码
除了以上两个口令安全漏洞外,Mendoza还发现三星使用静态密码加密应用程序的文件和数据库,这使得他能够进行逆向工程看到文件中的敏感数据。
“数据库包含很多敏感的信息,”Mendoza在他的研究报告中写道,“包括更新口令的状态信息、服务器连接指南和验证证书。”
三星方面表示,Mendoza的发现并不“准确”。但据Mendoza所知,三星的安全团队在2016年5月12日就已发现这些漏洞。Mendoza称会将后续的沟通结果公布在博客中。