A-A+

三星否认其移动支付平台不安全

2016年08月12日 Linux 新闻 暂无评论 阅读 376 次

三星否认其移动支付平台不安全

每年在 Black Hat 会议上都有对不同的公共服务进行安全性分析,在过去的星期日,一名研究员指三星的 POS 行动支付服务 Samsung Pay 的演算法有着被骇客入侵的风险。在博客文章中,三星否认以上说法,并指他们的演算法与报告中的不一样。

Samsung Pay 的运作方式与银行卡芯片相似,把手机在终端机上滑过、同步,其后就会获得一个并非由所连结银行帐号有关的「令牌」号码。但这号码在每次交易都会改变,与传统磁带卡只有一组 6 位数字的号码不同。

虽说「令牌」号码与银行帐户没有直接关系,但始终还是要给系统一些提示,好让它能收款吧。所以中间就有一套运算法了,这是一组用以产生临时号码的方程序。在我们使用者角度,这方程序「应该是」有足够的复杂性来抵挡骇客的破解。只是在 Black Hat 的其中一名研究员 Salvador Mendoza 却认为自己已经瞭解了这套一次性令牌运算法的运作,并交出了三个骇客可以用来入侵的方法。其一是利用磁带卡片来蒙骗系统去产生一组令牌,然后阻碍交易来逼使系统产生另一组令牌,此时骇客就利用第一组令牌和工具来截取新令牌。

三星否认 Mendoza 描述其演算法的运作,并在博客文章中指出他们已经在 FAQ 页面上解释了系统是如何抵挡骇客入侵。Samsung Pay 是利用 Knox 软体和硬体认证,再辅以 TrustZone 处理器结构来运算这些敏感资料。其后三星再补充指其行动支付服务是由多层安全系统保护着,再由与合作伙伴一起开发安全系统来侦测危险。

不过在 FAQ 页面上,没有对应讯息被干扰和「撤销」未用的令牌的情况作解释。不过 Mendoza 所建议的方法需要骇客与目标人物非常靠近,才能在后者付款被收纳之前及时把讯号阻挡。不过此时,Samsung Pay 使用者应该会有所警觉发现交易有问题,而且也因为每次交易过程都会涉及到三星和银行的欺诈分析算法,所以有关的入侵并不太可能发生。

标签:

给我留言

Copyright © SEARU.ORG 保留所有权利.   Theme  Ality 网站地图 360网站安全检测平台

用户登录

分享到: