西班牙安全研究员Salvador Mendoza发现了Samsung Pay的安全漏洞,这个漏洞一旦被利用,黑客将可以利用另一个设备来对受害者进行交易劫持。

基于非接触式的支付系统,是许多较新的三星手机的标配,工作原理是将信用卡信息转化成为Token,使黑客不能从设备中盗取信用卡。

但是,这些Token并没有人们想象中的那么安全。

Salvador Mendoza发现Token的转化程度有限,而且Token的序列是可预测的,在8月4日拉斯维加斯的黑帽大会上,他解释道,在支持Samsung Pay的应用程序第一次生成Token的时候,Token转化的安全性就大大地降低了,也就是说,接下来生成的Token将会很大程度地被预测到。

这些Token是可以被盗取的,而且搭配其他的硬件就可以发起欺诈性的交易了,且漏洞的利用不存在任何的限制。

Salvador Mendoza说,攻击者可以从三星设备中盗取Token,然后无限制地利用,他把自己的Token发送给了一个远在墨西哥的朋友,然后这个墨西哥的朋友搭配欺诈硬件成功购买到了商品,即使Samsung Pay根本还没支持墨西哥的用户。

在我看来,说了那么多,最大的问题就是,如何从三星设备中盗取Token,然而Salvador Mendoza表示,这非常简单。

利用过程

Salvador Mendoza弄了一个小东西绑在了自己的手臂上,利用无线劫持MST(磁力安全传输),然后当他拿起了任何人的三星手机,这台手机的Token就会通过电子邮件发送到Salvador Mendoza的收件箱。所以,你可以将这个小东西集成到另一台手机上去,当然,你也可以将这个硬件隐藏在一个普通的读卡器当中,比如说那些商店的信用卡刷卡器。

你也可以把Token写进一个开源的无线磁场劫持装置MagSpoof里面,就是这么简单,你也可以购买这个设备来玩玩。

Salvador Mendoza说,所有的信用卡、借记卡和预付卡的附属银行都会受到这类劫持攻击的影响,但是他也表示,gift cards将不会受到影响,因为Samsung Pay是提供一个条形码来进行扫描的,而不是发送出信号。

三星官方并没有直接表示他们要修复这个缺陷,三星的官方发言人表示:“Samsung Pay内置最先进的安全功能,保证所有的交易都会进行加密和妥善保存,并结合了三星的Knox安全平台。在任何时刻发现了潜在的漏洞,我们都将迅速采取行动,调查和解决问题。”

来自FreeBuf

三星支付存在漏洞可导致黑客进行交易劫持相关推荐

  1. McAfee Agent漏洞可导致黑客以Windows 系统权限运行代码

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 McAfee Enterprise(现更名为 Trellix)修复了McAfee Agent 软件 Windows 版中的一个漏洞(CVE-20 ...

  2. LibreOffice、OpenOffice 漏洞可导致黑客欺骗已签名文档

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 LibreOffice 和 OpenOffice 推出更新,修复了一个漏洞,它可导致攻击者操纵看似由可信来源签名的文档. 尽管该漏洞被评级为中危 ...

  3. 严重漏洞可导致 Juniper 设备遭劫持或破坏

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码安全卫士 网络和网络安全解决方案提供商 Juniper Networks 最近修复了一个严重漏洞,可导致攻击者远程劫持或破坏受影响设备. 该漏洞 ...

  4. 全球最大的NFC 交易平台OpenSea严重漏洞可使黑客窃取钱包密币

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 全球最大的不可替代令牌 (NFT) 市场 OpenSea 修复了一个严重漏洞.攻击者发送一个特殊构造的令牌就能够窃空受害者的密币,从而打开了新的 ...

  5. iPhone 12 mini大幅砍单 苹果可能又要因为屏幕而向三星支付违约金

    3月24消息,据国外媒体报道,在此前的报道中,外媒曾提到,苹果削减了上半年iPhone的生产订单,由9600万部削减到了7500万部,主要是因为iPhone 12系列中iPhone 12 mini的销 ...

  6. CPU漏洞可导致RSA被攻击

    [赛迪网讯]消息,据国外媒体报道,以色列魏兹曼科学院教授Adi Shamir近日表示,PC处理器在理论上存在的数学漏洞将导致RSA加密算法遭到攻击,从而使全球电子商务陷入灾难. 目前,RSA算法被广泛 ...

  7. 多个Wyze 摄像头漏洞可导致攻击者接管设备并访问视频

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 热门 Wyze Cam 设备中存在三个漏洞,可导致恶意人员执行任意代码.访问摄像头并越权读取SD卡,而距离漏洞初次发现近3年后,越权读取SD卡的 ...

  8. 多个漏洞可导致施耐德电气继电器遭重启或设备遭接管

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 施耐德电气公司的某些 Easergy 继电器中存在多个漏洞,可导致黑客禁用电网络的防护措施.该公司已发布补丁. Easergy 中压防护继电器中 ...

  9. 多个高危漏洞可导致 Chrome 浏览器被黑

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 谷歌更新 Chrome Web 浏览器,共修复了8个漏洞,其中4个事高危级别:3个是释放后使用漏洞,可导致攻击者在浏览器内存中生成错误 ...

最新文章

  1. 小程序制作回到顶部按钮
  2. SAP FSM 学习笔记(三) 在微信里发起SAP FSM客户预约
  3. 如何提高效率SQLITE 大数据量操作效率
  4. HDU-4618 Palindrome Sub-Array 暴力枚举
  5. Kubernetes持久化存储Cephfs
  6. PL/SQL程序设计 第四章 游标的使用
  7. 检测点是否在两条平行线段之间_两点距离、点到直线距离、两条直线平行与垂直的判定...
  8. 计算机测色配色应用,计算机测色及配色.doc
  9. Linux系统GIC介绍与编程
  10. 宏碁笔记本关闭安全启动Secure Boot,就是改为Disabled
  11. python 期货现货差价监测_期货现货价差小工具——天勤量化(TqSdk)
  12. 姓名拼音首字母缩写_企业开发人员,首字母缩写词和歧视
  13. 「沟通」当男人的理性遇上女人的感性时
  14. 微信小程序双瀑布流布局+动态懒加载
  15. 什么是Ajax 和 json
  16. c语言随机产生大小写字母,c# 产生随机字符串,包括大小写字母和数字
  17. 三维动漫计算机配置,做三维设计、CG动画一类工作需要怎样的电脑配置?
  18. 案例 | 从RISC到 x86,飞机维修业翘楚Ameco 转型记
  19. 双向 DC-DC 变换器(A 题 本科组)-- 2015 年全国大学生电子设计竞赛试题
  20. 云平台是什么?知名云平台有哪些?

热门文章

  1. AI时代下,如何打造一个具有情感化属性的智能相册?
  2. 我们为什么来到这个世界上?--黄金雄(杰西)
  3. 26_摘录的一些精彩语句2
  4. 微信公众号开发(1)--微信公众平台与后台服务器
  5. 算是我看源码时的一个小技巧吧~
  6. QT中QFile读写txt乱码问题|Windows10
  7. 零基础可以学计算机编程吗,计算机编程好学吗,零基础小白可以吗,入门应该先学什么?...
  8. Stream流和Optional
  9. 在HTML中 怎么一张图片上在放一张图片,css sprites把很多小图集成在一张图片上...
  10. 谷歌搜索通告:疫情期间不要关站会影响网站排名