Южнокорейская компания Samsung признала наличие уязвимости в своей бесконтактной мобильной платежной системе Samsung Pay, однако отметила, что ее эксплуатация возможна только при определенных обстоятельствах.

Речь идет о заявлении исследователя Сальвадора Мендосы (Salvador Mendoza), в рамках выступлений на конференциях по безопасности Black Hat и DEF CON продемонстрировавшего уязвимость платежной системы к скимминг- и спуфинг-атакам. Для обеспечения достаточного уровня защищенности пользовательских данных в основе Samsung Pay лежит система генерации специальных токенов, заменяющих номера пластиковых карт. Токены генерируются каждый раз при совершении новой транзакции. По словам исследователя, обнаруженная им уязвимость позволяет перехватить токен при помощи специального устройства.

Как утверждает Мендоса, проблема связана с алгоритмом, генерирующим трехзначные коды для каждой транзакции, которые злоумышленники могут легко угадать с помощью брутфорс-атаки или других методов. Иными словами, преступник может перехватить токен, определить правильный код для второй транзакции и использовать его для совершения покупок через учетную запись жертвы.

В подтверждение своей теории исследователь опубликовал видеоролик с наглядным примером атаки.

Демонстрация Мендосы вызвала ответную реакцию со стороны Samsung. Вначале компания опровергла наличие уязвимости, однако затем признала, что действительно использует описанный на презентации алгоритм генерации кодов транзакций. По словам представителей производителя, скимминг-атака возможна, но только при определенных условиях, предполагающих очень небольшое расстояние между злоумышленником и жертвой.