تماشا کنید: شکاف امنیتی در سیستم پرداخت موبایل سامسونگ پی (Samsung Pay)
در حال حاضر سه سیستم پرداخت موبایل مطرح در جهان وجود دارد که دو تا از آنها متعلق به اپل و گوگل هستند و دیگری هم متعلق به برند کرهای سامسونگ است. امنیت هر سه سیستم کاملا بالاست و بارها در تبلیغات مختلف این شرکت ها هم به این موضوع اشاره شده، اما گویا سامسونگ پی (Samsung Pay) در این زمینه کمی از رقبای آمریکایی خود عقبتر است.
سیستمهای پرداخت با استفاده از موبایل یکی دو سالی است که رواج پیدا کردهاند و مهمترین بحث در جلب نظر کاربران برای استفاده از این سیستمها، تضمین کردن امنیت آنهاست. مطمئنا برای کاربری که حتی به سیستمهای پرداخت با استفاده از کارتهای اعتباری بانکی هم اعتماد ندارد، راضی شدن به استفاده از پرداخت قبوض و هزینهها با استفاده از موبایل بسیار ناامن جلوه میکند و تغییر این موضوع به زمان زیادی نیاز دارد.
اما هرچه قدر هم که این کمپانیها برای جلب رضایت کاربران تلاش کنند، بروز یک اتفاق نظیر آنچه که دربارهی سیستم سامسونگ پی رخ داده است، میتواند تمام تلاشهای آنها را نقش بر آب کند! به تازگی یک متخصص امنیتی به نام سالوادور مندوزا (Salvador Mendoza) در گفتگویی که با او در جریان رویداد Black Hat در شهر لاس وگاس آمریکا انجام شد، از یک شکاف امنیت و باگ خطرناک برای سامسونگ پی رونمایی کرده است که در نهایت منجر به هک شدن آن میشود.
اساس کار سیستم پرداخت موبایلی سامسونگ به این صورت است که هنگام انجام شدن هر معامله و هر تراکنش مالی، این سامسونگ پی یک نشان رمزی (توکن) اختصاصی برای آن معامله ایجاد میکند. این توکن منحصر به فرد باعث میشود که اطلاعات کارت بانکی آن کاربر زیر پوشش قرار بگیرد و حتی اگر در بین راه، هکری توانست در روند معامله نفوذ کند، قادر به خارج کردن و خواندن اطلاعات حساس کارت بانکی نباشد.
اما طبق ادعای آقای مندوزا، این سیستم بعد از هر تراکنش و هر بار ساختن یک توکن جدید، ضعیف و ضعیفتر میشود و این روند تا جایی پیش میرود که بعد از انجام شدن چندین تراکنش بانکی به اندازهی کافی، هکر میتواند الگوریتم آن را تشخیص داده و توکنهای بعدی را حدس بزند! این باگ امنیتی بعد از چند تلاش متوالی هکر را قادر میسازد که با ساخت توکن های جعلی، آنها را بر روی دیوایس دیگری استفاده کند و در واقع از حساب آن کاربر بهره ببرد.
این هکر برای این که ادعای خود را ثابت کند، یک توکن را برای دوستش در کشور مکزیک ارسال میکند و او هم موفق میشود که از آن توکن جعلی استفاده کند، آن هم در حالی که سیستم پرداخت سامسونگ پی هنوز در کشور مکزیک به طور رسمی راه اندازی نشده است! در ویدیوی زیر میتوانید روند انجام این کار و نفوذ به سیستم اعتباری سامسونگ را در عمل مشاهده کنید:
دیوار امنیتی سامسونگ پی هنوز هم آسیب پذیر است؟
در حال حاضر هنوز مشخص نیست که آیا کمپانی کرهای این مشکل را در سیستم پرداخت موبایلی خود برطرف کرده است یا خیر، اما یک سخنگو از سامسونگ دربارهی این سیستم اظهار نظری داشته است که خواندن آن میتواند جالب باشد:
سامسونگ پی با بهرهگیری از پیشرفتهترین تکنولوژیها و قابلیتهای امنیتی ساخته شده است تا مطمئن شویم که از تمام اطلاعات پرداختی محافظت شده و در جای امنی از انها نگهداری میشود که البته برای حفاظت بیشتر، این قابلیتها با سیستم امنیتی Samsung Knox ترکیب شدهاند. اگر در هر زمانی یک آسیبپذیری بالقوه وجود داشته باشد، ما به سرعت وارد عمل میشویم تا مشکل را بررسی کرده و آن را حل کنیم.