Samsung Pay Dính Lỗi Bảo Mật, Hacker Có Thể Làm Giả Thẻ Tín Dụng Để Mua Hàng

12 Tháng Tám 20167:00 CH(Xem: 6582)
Samsung Pay Dính Lỗi Bảo Mật, Hacker Có Thể Làm Giả Thẻ Tín Dụng Để Mua Hàng
blank
Chức năng thanh toán qua di động không tiếp xúc đang dần thành tiêu chuẩn trên các dòng smartphone Galaxy mới nhất của Samsung, nhưng có một hacker đã tìm ra cách để can thiệp vào các tín hiệu của họ.

Thượng tuần tháng 08/2016, trong một buổi thuyết trình tại Defcon, Salvador Mendoza đã trình diễn một số hình thức tấn công nhắm vào hệ thống Samsung Pay, cùng phản hồi của nhà sản xuất smartphone về việc đã nhận thức lỗ hổng, nhưng cho rằng những cuộc tấn công như vậy có tỷ lệ thành công là rất thấp.

Cuộc tấn công do Mendoza trình diễn tập trung vào việc can thiệp hoặc làm giả token thanh toán – các mã được tạo ra bởi smartphone để thay thế cho thông tin thẻ tín dụng. Các token được gửi từ thiết bị di động đến thiết bị thanh toán qua các giao dịch không dây. Chúng sẽ hết hạn trong vòng 24 giờ sau khi được tạo ra và chỉ được dùng một lần duy nhất. Mendoza đã chỉ ra một số kiểu tấn công nhắm vào mục tiêu này.

Theo kịch bản, một thiết bị đeo tay được sử dụng để đọc lướt qua các số token tạo ra bởi smartphone của người dùng. Người dùng cần phải xác thực một thanh toán qua di động, tuy nhiên, một hacker có thể đánh lừa người dùng bằng cách yêu cầu để họ thấy cách Samsung Pay hoạt động.

Trong bài thuyết trình, Mendoza cũng tuyên bố đã tìm ra các mô hình về cách thức tạo ra token của Samsung, cho phép kẻ tấn công có thể tự tạo ra token mới. Theo Mendoza, nếu một kẻ tấn công phân tích các token một cách cẩn thận, hắn có thể thực hiện một phương pháp đoán để làm được điều này.


Về phía Samsung, hãng đã bác bỏ phần trình bày của Mendoza, cho rằng: “Điều quan trọng cần lưu ý rằng Samsung Pay không sử dụng thuật toán như đã tuyên bố trong phần trình bày của hacker Black Hat trên để mã hóa thông tin thanh toán”. Tuy nhiên, Samsung cũng thừa nhận rằng trong một số tình huống nhất định, kẻ tấn công có thể đọc lướt số token thanh toán của người dùng và thực hiện việc mua hàng gian lận với thẻ của họ.

Công ty khẳng định tỷ lệ thành công của hành động gian lận này là rất thấp. Kẻ tấn công phải ở đủ gần với mục tiêu trong quá trình thực hiện việc mua hàng hợp lệ. Có nghĩa là kẻ tấn công phải chờ đợi  người dùng mua hàng ở một cửa hàng, can thiệp vào tín hiệu giữa smartphone và thiết bị thanh toán, đọc lướt qua số token trên điện thoại của họ, và sau đó sử dụng số token đó trước khi người dùng hoàn thành việc mua hàng như dự định.

Trang ZDNet cho biết, “mọi thẻ tín dụng, thẻ ghi nợ và thẻ trả trước từ bất kỳ ngân hàng liên kết nào” đều dễ bị tổn thương với cùng một cách tấn công tương tự. Dù quá trình là rất khó thực hiện, nhưng nó có thể đơn giản hơn nếu thiết lập một thiết bị thanh toán giả mạo ở ngay trong cửa hàng. Công ty cũng cho biết đã làm việc với hãng thanh toán, nhận định vấn đề là một “rủi ro chấp nhận được”.
55Vote
42Vote
30Vote
21Vote
11Vote
49
Gửi ý kiến của bạn
Tắt
Telex
VNI
Tên của bạn
Email của bạn
Tạo bài viết
05 Tháng Ba 2019
Khoảng đầu tháng 03/2019, một số nguồn tin cho biết, Google đã từ chối yêu cầu gỡ bỏ ứng dụng cho phép đàn ông Ả Rập theo dõi và điều khiển phụ nữ khỏi Google Play Store của cơ quan lập pháp Mỹ. Trong tuyên bố gửi cho Hạ nghị sĩ Hoa Kỳ Jackie Speier, Google khẳng định ứng dụng có tên Absher không hề vi phạm các điều khoản và điều kiện cần thiết để được tồn tại trên Google Play Store.
15 Tháng Hai 2019
Một số nhà lập pháp Ấn Độ đã cho rằng việc sử dụng Tik Tok khiến thanh thiếu niên và cả người trường thành Ấn Độ tham gia vào những hành vi làm suy thoái văn hóa. Do đó, họ yêu cầu chính phủ Ấn Độ cần có những biện pháp ngăn chặn Tik Tok.
12 Tháng Mười Một 2018
Hồi tháng 10/2018, xuất hiện một số thông tin về việc Facebook đang phát triển ứng dụng có tên là Lasso, nhằm cạnh tranh trực tiếp với TikTok trong mảng video clip ngắn. Đến khoảng giữa tháng 11/2018, Facebook chính thức ra mắt Lasso.
30 Tháng Mười 2018
Học chơi guitar với người thường đã khó, và còn khó khăn hơn đối với những người khiếm thị. Thực tế, dù yêu âm nhạc đến mấy, quá trình tham khảo sách hướng dẫn bằng chữ nổi thường khiến người khiếm thị dễ chán nản và từ bỏ. Dù có các khóa dạy đàn online dạng audio, tuy nhiên giá cả khá đắt đỏ và khó tùy chỉnh.
29 Tháng Mười 2018
Khoảng cuối tháng 10/2018, trang TechCrunch cho biết, Facebook đang phát triển ứng dụng mới Lasso, là nơi người dùng có thể ghi âm, chia sẻ video họ hát nhép hoặc nhảy theo bài hát phổ biến. Lasso sẽ cạnh tranh với Musical.ly, hiện thuộc sở hữu của ByteDance và tích hợp trong ứng dụng TikTok.
25 Tháng Mười 2018
Uber từng tiết lộ sẽ đầu tư dịch vụ giao đồ ăn bằng máy bay drone. Khoảng cuối tháng 10/2018, hãng đã bắt đầu đăng tuyển nhân sự để phát triển mảng Uber Eats.