Samsung Pay'e Dikkat

Saldırganlar, Samsung Pay’e saldırmanın ve bunun üzerinden dolandırıcılık yapmanın ne kadar kolay olduğunu gösterdi.

Samsung tarafından geliştirilen jeton (token) tabanlı ödeme sistemi olan Samsung Pay, kredi dolandırıcılığını mümkün kılıyor. ZDNet raporlarına göre, saldırganlar uzaktan işlem yürütebilmek için oluşturulan jetonları (token) kullanabilir.

Samsung pay temas gerektirmeyen bir sistem olan manyetik tabanlı ödeme yöntemi. Samsung Pay’in amacı, her yerde kredi kartı bilgilerinin girilmesini önlemek. Bu sistem bazı yeni Samsung cihazlarda standart olarak geliyor ve kredi kartı verilerini jetonlara (token) çevirerek çalışıyor.

Ancak bir güvenlik araştırmacısı bu mekanizmada bulunan bir açığı ön plana çıkardı. Yapılan açıklamada ise şöyle; kötü niyetli bir saldırgan bu açıktan faydalanabilirse, farklı bir telefondan hileli alım-satım işlemleri yapabilir.

Soruna dikkat çeken isim Salvador Mendoza. Yaptığı açıklamada, uygulamanın ürettiği ilk jetondan sonraki jetonların (token) ilk üretilen kadar güvenli olmadığını, dolayısıyla öngörülebilir olduklarını belirtiyor. Eğer jetonlar (token) çalınırsa, herhangi başka bir cihazda kullanılabilir ve alım-satım işlemleri yapılabilir. Bu açık, kredi kartı hırsızlığına yeni bir boyut getiriyor.

Mendoza bulduğu bu açığı Meksika’da ki bir arkadaşına jeton (token) yollayarak test etmiş. Meksika’da bu servisin mevcut olmamasına rağmen, Meksikalı arkadaşı herhangi bir sorun yaşamadan kredi kartından işlem yürütebilmiş.

Bu fiyaskodaki ana görev jetonları çalmak. Mendoza bulduklarının yanı sıra, nasıl yapılacağını da gösterdi. Mendoza, koluna oturacak şekilde yaptığı bir alet sayesinde, herhangi birinin telefonunu eline aldığında kablosuz olarak güvenli jeton iletimi yapabiliyor. Yaptığı alet, başkasının telefonunda bulunan jetonları (token) e-mail olarak saldırgana yolluyor. Dolayısıyla daha sonrasında herhangi başka bir telefondan kullanılabiliyor. Mendoza kendi denemesinde, iletilen jetonları MagSpoof denilen açık kaynaklı bir manyetik şerit kullanarak aktardı ve jetonları alım-satım için kullanabildi.

Mendoza, hediye kartları dışında bütün bankaların kartlarının bu yöntem ile istismar edilebileceği konusunda uyarıyor. Hediye kartlarının bu açıktan etkilenmemesinin sebebi ise, Samsung’un hediye kartlarını okurken sinyalini barkod tarama olarak değiştirmesi. Samsung bu sorunu çözmek için herhangi bir adım atıp atmayacağını konusunda henüz yorum yapmadı.

Ancak daha önce yaptıkları bir açıklama şöyle;

“Samsung Pay şu sıralar kullanılan en ileri teknolojilerden biri ve eğer şirket potansiyel bir açık bulursa, bu açığı kapatmak için elinden geleni yapacaktır.”

Salvador Mendoza’nın kendi yaptığı videoda işlemin nasıl yapıldığını görebilirsiniz. Video İspanyolca fakat görüntülerin anlamanıza yardımcı olacağını umuyoruz.