WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗi trên token của Samsung Pay cho phép thực hiện giao dịch gian lận
Một nhà nghiên cứu đã phát hiện ra nhiều vấn đề an ninh trong dịch vụ thanh toán di động Samsung Pay, gồm một lỗ hổng có thể bị khai thác để thực hiện các giao dịch gian lận.
Samsung Pay cung cấp cho người dùng ví diện tử để giữ thẻ tín dụng, thẻ ghi nợ, thẻ quà tặng, thẻ khách hàng trung thành và thẻ thành viên. Khi muốn sử dụng một trong các thẻ này, khách hàng chỉ cần chọn, nhập mã PIN hoặc quét vân tay, và giữ điện thoại thông minh gần các đầu đọc thẻ.
Tại hội nghị Black Hat, nhà nghiên cứu Salvador Mendoza chia sẻ kết quả phân tích Samsung Pay của mình. Nhà nghiên cứu phát hiện mật khẩu tĩnh dùng để bảo vệ cơ sở dữ liệu và bình luận trong mã… có thể cho phép kẻ tấn công thông minh truy cập dữ liệu nhạy cảm.
Mendoza cũng nhận thấy ứng dụng di động sử dụng token (mã xác thực người dùng) để thực hiện giao dịch thay vì dữ liệu thẻ thực tế - điều này đảm bảo dữ liệu thẻ ban đầu không bị tiết lộ. Một token mới được tạo ra cho mỗi giao dịch, và theo nhà nghiên cứu, kẻ tấn công có thể dự đoán được token kế tiếp dựa trên các token đã được sử dụng trước đó.
Một phương pháp tấn công khác mà nhà nghiên cứu đã thực hiện có liên quan đến token không được sử dụng. Mỗi token sẽ hết hiệu lực sau khi giao dịch hoàn tất. Tuy nhiên, nếu vì một lý do nào đó giao dịch không được hoàn thành, thì token sẽ còn hiệu lực trong một ngày, ngay cả sau khi token mới được tạo ra.
Nếu lấy được token chưa hết hạn, kẻ tấn công có thể sử dụng chúng để thực hiện giao dịch mà không cần điện thoại thông minh của nạn nhân. Mendoza đã tạo ra một thiết bị nhỏ, có thể được gắn vào cổ tay người, chụp token từ điện thoại gần đó chạy Samsung Pay. Trong một kịch bản mà nhà nghiên cứu mô tả, kẻ tấn công yêu cầu nạn nhân chỉ cho họ cách hệ thống thanh toán di động hoạt động, một quá trình tạo ra token không được sử dụng.
Token bị lấy cắp có thể được thêm vào một thiết bị như MagSpoof, thẻ tín dụng không dây mã nguồn mở được tạo ra bởi nhà nghiên cứu Samy Kamkar. MagSpoof có thể mô phỏng một thẻ từ truyền thống bằng cách tạo ra một trường điện từ mạnh.
Dưới đây là đoạn video của Mendoza cho thấy ông có thể sử dụng một phiên bản sửa đổi của MagSpoof để thực hiện mua hàng với token lấy được của Samsung Pay.
Samsung Pay cung cấp cho người dùng ví diện tử để giữ thẻ tín dụng, thẻ ghi nợ, thẻ quà tặng, thẻ khách hàng trung thành và thẻ thành viên. Khi muốn sử dụng một trong các thẻ này, khách hàng chỉ cần chọn, nhập mã PIN hoặc quét vân tay, và giữ điện thoại thông minh gần các đầu đọc thẻ.
Tại hội nghị Black Hat, nhà nghiên cứu Salvador Mendoza chia sẻ kết quả phân tích Samsung Pay của mình. Nhà nghiên cứu phát hiện mật khẩu tĩnh dùng để bảo vệ cơ sở dữ liệu và bình luận trong mã… có thể cho phép kẻ tấn công thông minh truy cập dữ liệu nhạy cảm.
Mendoza cũng nhận thấy ứng dụng di động sử dụng token (mã xác thực người dùng) để thực hiện giao dịch thay vì dữ liệu thẻ thực tế - điều này đảm bảo dữ liệu thẻ ban đầu không bị tiết lộ. Một token mới được tạo ra cho mỗi giao dịch, và theo nhà nghiên cứu, kẻ tấn công có thể dự đoán được token kế tiếp dựa trên các token đã được sử dụng trước đó.
Một phương pháp tấn công khác mà nhà nghiên cứu đã thực hiện có liên quan đến token không được sử dụng. Mỗi token sẽ hết hiệu lực sau khi giao dịch hoàn tất. Tuy nhiên, nếu vì một lý do nào đó giao dịch không được hoàn thành, thì token sẽ còn hiệu lực trong một ngày, ngay cả sau khi token mới được tạo ra.
Nếu lấy được token chưa hết hạn, kẻ tấn công có thể sử dụng chúng để thực hiện giao dịch mà không cần điện thoại thông minh của nạn nhân. Mendoza đã tạo ra một thiết bị nhỏ, có thể được gắn vào cổ tay người, chụp token từ điện thoại gần đó chạy Samsung Pay. Trong một kịch bản mà nhà nghiên cứu mô tả, kẻ tấn công yêu cầu nạn nhân chỉ cho họ cách hệ thống thanh toán di động hoạt động, một quá trình tạo ra token không được sử dụng.
Token bị lấy cắp có thể được thêm vào một thiết bị như MagSpoof, thẻ tín dụng không dây mã nguồn mở được tạo ra bởi nhà nghiên cứu Samy Kamkar. MagSpoof có thể mô phỏng một thẻ từ truyền thống bằng cách tạo ra một trường điện từ mạnh.
Dưới đây là đoạn video của Mendoza cho thấy ông có thể sử dụng một phiên bản sửa đổi của MagSpoof để thực hiện mua hàng với token lấy được của Samsung Pay.
[video=youtube;QMR2JiH_ymU]https://www.youtube.com/watch?v=QMR2JiH_ymU[/video]
Theo SecurityWeek