Samsung Pay ระบบจ่ายเงินในสมาร์ทโฟนของซัมซุงที่ทำงานอยู่บนพื้นฐานของระบบแม่เหล็กเหมือนกับบัตรเครดิต ถูกพบช่องโหว่ที่ทำให้แฮกเกอร์สามารถขโมยข้อมูลในบัตรไปใช้ได้อย่างง่ายดาย
หลักการทำงานของ Samsung Pay คือ แปลงข้อมูลของบัตรเครดิตให้อยู่ในรูปแบบ Tokens ทำให้แฮกเกอร์ไม่สามารถล่วงรู้หมายเลขบัตรเครดิตที่เก็บไว้ในสมาร์ทโฟนได้ ปัญหา คือ เหมือน Tokens ดังกล่าวจะไม่ปลอดภัยอย่างที่คิดเอาไว้
Salvador Mendoza นักวิจัยด้านความปลอดภัย ได้พบว่ารูปแบบการสร้าง Token นั้นมีจำกัด และสามารถคาดเดาลำดับการสร้างได้ไม่ยาก โดยเขาอธิบายว่าระบบการสร้าง Token จะมีความเข้มงวดลดลงหลงจากที่สร้าง Token ในครั้งแรก หมายความว่า เราจะคาดเดารูปแบบการถอดรหัสของ Token ได้ง่ายขึ้นในการสร้างครั้งถัดไป
Token ที่ถูกคาดเดารูปแบบได้แล้ว สามารถนำไปใช้ในฮาร์ดแวร์เครื่องอื่นสำหรับปลอมแปลงการทำธุรกรรม เหมือนกับการทำ Skimming บัตรเครดิต ที่มักเป็นข่าวอยู่บ่อยๆ นั่นเอง
Mendoza ยังบอกอีกว่า เขาได้ส่ง Token ไปหาเพื่อนของเขาใน Mexico และเพื่อนของเขาสามารถใช้ เครื่อง Magnetic spoofing hardware ในการชำระค่าสินค้าได้ทันที แม้ว่า Samsung pay จะยังไม่มีให้บริการในประเทศ Mexico ก็ตาม
ลองดูวิดีโอที่เขาสาธิตให้ดูกันใน YouTube ด้านล่างนี้ครับ เป็นภาษาสเปน แต่ว่ามีซับไตเติ้ลภาษาอังกฤษ
https://youtu.be/QMR2JiH_ymU
คำถามที่สำคัญที่สุด แล้วเขาจะขโมย Token ได้อย่างไร? Mendoza ตอบว่ามันง่ายอย่างน่าเหลือเชื่อ
Mendoza ได้สร้างเครื่องดักจับสัญญาณแม่เหล็กขนาดเล็กซ่อนไว้ในแขนของเขา หรือที่เรียกกันว่า MST (Magnetic secure transmission) จากนั้นเขาก็แค่หยิบสมาร์ทโฟนของใครสักคนขึ้นมา กดส่ง Token ไปยัง Inbox ผ่านอีเมลล์ จากนั้นเขาสามารถถอดรหัสไปใช้กับสมาร์ทโฟนเครื่องอื่นได้เลย
Mendoza ยังบอกอีกว่า มันใช้ได้ผลกับบัตรเครดิตทุกใบ ไม่ว่าจะเป็นธนาคารไหนก็ตาม แต่ว่ามันใช้ไม่ได้ผลกับ Gif cards เพราะ Samsung Pay จะแสดงเป็นบาร์โค๊ดบนหน้าจอ แทนที่จะส่งสัญญาณ
สำหรับทาง Samsung ได้ออกมาเปิดเผยว่า ระบบ Samsung Pay สร้างขึ้นด้วยระบบรักษาความปลอดภัยระดับสูง ข้อมูลการชำระเงินจะถูกเข้ารหัสและเก็บไว้อย่างปลอดภัยที่สุด โดยทำงานร่วมกับ Samsung Knox security patform อย่างไรก็ตามหากมีการค้นพบช่องโหว่ล่ะก็ เราจะทำการศึกษาและหาทางแก้ไขปัญหาดังกล่าวในทันที
ที่มา http://bit.ly/2aG39lm