Уязвимость в приложении Samsung Pay позволяет утечку токенов, использующихся для авторизации и выполнения транзакций.
Ошибка в приложении Samsung Pay подвергает риску конфиденциальную информацию владельцев мобильных устройств, использующих платежный сервис. По данным исследователя из компании Tencent, известного как HC, ошибка позволяет утечку данных, использующихся для авторизации и выполнения транзакций.
По его словам, неавторизованный злоумышленник может извлечь токены и просматривать коммуникации между пользователями и банками в открытом виде, а при наличии достаточного количества информации сгенерировать еще один токен и с его помощью вывести средства со счетов жертв.
Уязвимость содержится не в самом платежном сервисе, а в приложении Samsung Pay. Она состоит в том, что непривилегированный пользователь может получить доступ к логам телефона, отметил HC. Исследователь протестировал атаку на смартфоне Samsung Galaxy S6, но по его словам, потенциально под угрозой находятся все модели линейки Samsung Galaxy, владельцы которых используют платежный сервис Samsung Pay. HC попытался проэкслуатировать уязвимость на других моделях смартфонов, но безуспешно. Однако при наличии надлежащих навыков и инструментов, компрометация Samsung Pay вполне возможна, считает он.
Компания Samsung уже проинформирована о проблеме. Более подробную информацию об исследовании HC представит на конференции Black Hat Europe 2017, которая пройдет 4-7 декабря в Лондоне.
Samsung Pay — платежный сервис, разработанный компанией Samsung Electronics, который предоставляет пользователям возможность осуществлять платежи, используя для этого поддерживаемые телефоны и прочую технику производителя.
Токен – цифровое значение, случайным образом формируемое платежной системой при активации карты.
Гравитация научных фактов сильнее, чем вы думаете