Falha em Samsung Pay pode deixar dados de cartão de crédito vulneráveis

Por Redação | 08 de Agosto de 2016 às 19h19
photo_camera http://9to5google.com/2016/04/27/samsung-pay-south-korea-atm

Os smartphones e tablets estão expandindo os sistemas de pagamento, introduzindo novos agentes como aplicativos de carteira eletrônica e sistemas de segurança. Durante a conferência Black Hat Security, que aconteceu em Las Vegas na semana passada, foi demonstrada uma falha no sistema Samsung Pay que permite que hackers interceptem e decodifiquem as informações de pagamento com cartão de crédito.

A demonstração foi realizada pelo analista de segurança Salvador Mendoza, que mostrou a falha no sistema de token da plataforma, o gerador de caracteres aleatórios responsável por ofuscar detalhes das transações, permitindo que atacantes "adivinhassem" os números do cartão. Segundo Mendoza, depois de uma primeira inserção de cartão no Samsung Pay, os tokens gerados posteriormente inexplicavelmente se tornam mais fracos e, consequentemente, fáceis de adivinhar.

Outro ponto fraco está na tecnologia de transmissão magnética presente nos aparelhos flagships da coreana. A ferramenta faz com que o chip dentro do dispositivo emita um sinal com as mesmas informações da tarja magnética do cartão, que é processado pelo terminal como um cartão comum. Entretanto, o sistema também abre brecha para que o token de segurança seja decodificado.

O acesso ao token, no entanto, não é tão fácil. Para isso, é necessário hardware específico capaz de ler o sinal magnético e, principalmente, é necessário o acesso ao celular da vítima. O analista demonstrou a falha na segurança com um dispositivo, pequeno o suficiente para caber no bolso, criado por ele.

Samgung Pay Mendoza

A Samsung se pronunciou sobre a questão dizendo que a pesquisa de Mendoza é imprecisa e que a segurança é a prioridade número um da empresa. "O Samsung Pay foi desenvolvido com tecnologia de segurança de alto padrão e é o sistema de pagamento mobile mais aceito no mundo atualmente", explica a empresa em nota. "Cada transação usa um token digital único que substitui o número do cartão que é combinado com informação certificada em diferentes níveis de segurança. A plataforma é desenvolvida de maneira que vendedores não possam nem ver nem armazenar as informações do usuário, que recebe notificações para todas as transações realizadas com seu cartão", complementa.

Entretanto, apesar da certeza das empresas ao falarem desses sistema de pagamento, estudos apontam para outra direção. Uma pesquisa realizada em 2015, com 900 profissionais de cibersegurança pela organização de TI ISACA, apontou que 47% dos especialistas acreditam que os sistemas de pagamento mobile oferecem riscos. A grande maioria (87%) acredita que haverá uma onda de vazamento de informações de segurança no próximo ano causada pelas falhas destes sistemas.

Fonte Digital Trends

Siga o Canaltech no Twitter!

Não perca nenhuma novidade do mundo da tecnologia.