Bằng một thiết bị tự chế và vài bước đơn giản, tin tặc có thể qua mặt hệ thống bảo mật của Samsung Pay và đánh cắp thẻ tín dụng dễ dàng.
So với Android Pay hay Apple Pay, Samsung Pay có ưu thế hơn nhờ khả năng thanh toán thông qua máy thanh toán thẻ từ nhờ ứng dụng công nghệ Truyền dữ liệu An toàn qua Từ tính (Magnetic Secure Transmission – MST) do chính Samsung phát triển, thay vì chỉ máy NFC như 2 dịch vụ của Google và Apple. Điều này giúp khách hàng Samsung có thể giao dịch thẻ ở nhiều cửa hàng hơn, thay vì bị giới hạn ở những nơi chỉ được trang bị máy NFC. Tuy nhiên, nó cũng tiềm ẩn khả năng bị đánh cắp tài khoản thẻ tín dụng.
Trong buổi nói chuyện tại hội nghị bảo mật Black Hat ở Las Vegas (Mỹ) ngày 5/8, chuyên gia bảo mật Salvador Mendoza nhấn mạnh rằng, các dữ liệu mã hóa thanh toán của Samsung Pay có thể bị dự đoán, nếu nó bị theo dõi trong một khoảng thời gian nhất định. Hay nói cách khác, kẻ gian có thể bí mật theo dõi các dữ liệu giao dịch, sau đó sử dụng chúng để thực hiện các giao dịch gian lận khác mà không cần đến các thủ thuật tấn công phức tạp.
“Tokenization là quá trình thay thế dữ liệu nhạy cảm bằng các ký hiệu nhận dạng duy nhất nhằm giữ lại tất cả thông tin cần thiết về dữ liệu mà không ảnh hưởng đến vấn đề an toàn. Tuy nhiên, quá trình này yếu dần sau khi ứng dụng nhận dạng một thẻ cụ thể, tức là nó sẽ dễ dàng bị dự đoán trong tương lai”, Mendoza cho biết.
Theo Mendoza, kẻ xấu có thể đánh cắp mã thông báo từ Samsung Pay dễ dàng và sử dụng nó nhiều lần. Để chứng minh, ông đã gửi mã thông báo đến cho người bạn của mình ở Mexico. Tại nơi làm việc, ông tự tạo ra một thiết bị tạm thời đeo ở cổ tay để theo dõi các hoạt động đó. Thiết bị ứng dụng MST để lấy dữ liệu của một chiếc điện thoại khác đang sử dụng Samsung Pay để giao dịch, sau đó gửi về hộp thư của Mendoza. Tiếp theo, các dữ liệu sẽ được nạp vào thiết bị khác có tên MagSpoof, vốn khá phổ biến và dễ chế tạo. Cuối cùng, ông dùng MagSpoof lại gần một máy bán hàng tự động và mua hàng mà không gặp phải trở ngại nào.
“Tất cả thẻ tín dụng, thẻ ghi nợ, thẻ trả trước hoặc trả sau từ bất kỳ ngân hàng nào cũng đều bị ảnh hưởng bởi loại tấn công này trừ thẻ quà tặng”, Mendoza nhấn mạnh.
Sau khi được cảnh báo, Samsung trả lời như sau: “Samsung Pay được xây dựng với các tính năng bảo mật tiên tiến nhất, đảm bảo tất cả các thông tin thanh toán của người dùng được mã hóa và lưu giữ an toàn. Tuy nhiên, đội ngũ kỹ thuật đang xem xét vấn đề mà Mendoza đưa ra và nếu đây là lỗ hổng tiềm năng, chúng tôi sẽ khắc phục sớm”.
Bảo Lâm
Theo Vnexpress
