Un report mostra come il servizio Samsung Pay abbia un punto debole sfruttabile da malintenzionati, i quali potrebbero effettuare acquisti per conto nostro, pur riuscendo a salvaguardare la sicurezza dei dati delle nostre carte.
Il sistema Samsung Pay è uno dei tanti sistemi di pagamento sviluppati per smartphone. Nel corso degli ultimi due anni tante sono le aziende che hanno annunciato la loro personale versione del servizio. Tanto per citarne le aziende più grandi: Android Pay, Samsung Pay, Apple Pay.
In Italia il servizio Android Pay ed Apple Pay sono già attivi, mentre Samsung Pay dovrebbe ufficialmente essere presentato nel corso dell’ultimo trimestre del 2016, secondo le parole dell’AD di Samsung Italia, Carlo Barlocco.
Tutti i sistemi hanno però in comune lo stesso schema di funzionamento. Inserendo i dati delle nostre carte all’interno delle app predisposte esse vengono poi utilizzate per effettuare pagamenti contactless. Questo è possibile grazie alla tecnologia NFC presente sui nostri smartphone.
Non solo Samsung Pay, ma tutti sistemi di pagamento contactless sarebbero a rischio
Quando effettuiamo un pagamento i dati delle nostre carte non vengono trasmessi, ma viene generato un token. Questo token, che cambia a seconda del sistema di pagamento utilizzato, viene generato ogni volta che ci apprestiamo ad effettuare un acquisto. Il token quindi viene “spedito” al lettore che valida i dati in esso contenuti a partire dalla nostra carta.
Salvador Mendoza ha però evidenziato, come potrete notare anche voi dal video a fine articolo, di una grave falla del sistema. L’algoritmo che genera i token in Samsung Pay risulta poco robusto e prevedibile. Captando i tokens provenienti dal telefono essi possono essere utilizzato per effettuare acquisti.
Questo significa che effettivamente non c’è pericolo per i dati della nostra carta di credito. Questi dati vengono infatti “cifrati” nel token. E’ però possibile “copiare” i token prodotti dal nostro smartphone ed utilizzarli in maniera fraudolenta.
Molti di voi si staranno chiedendo come sia possibile “trafugare” il token in questione?
Come illustrato da Mendoza, e senza scendere in dettagli troppo tecnici, è molto semplice. Egli ha costruito una fascia da attaccare al polso che letteralmente “ruba” il segnale MST (Magnetic Secure Transmission) dei telefoni che prende in mano. Automaticamente il token viene spedito via posta elettronica al suo indirizzo, che può usare in seguito per essere compilato all’interno di uno smartphone.
Se pensate che sia abbastanza difficile, pensate cosa potrebbe succedere nascondendo il dispositivo all’interno di un lettore di schede. Utilizzate la vostra carta di credito/debito contactless o Samsung Pay per acquisti e potreste ritrovarvi con il token trafugato.
Per effettuare acquisti senza utilizzare lo smartphone ha utilizzato un MagSpoof, un dispositivo che imita il comportamento delle carte. Inserendo all’interno del dispositivo i dati del token può effettuare acquisti come se avesse una carta contactless.
Sulla questione Samsung ha risposto vagamente, senza riconoscere il problema ne accennando ad una sua possibile soluzione. Staremo a vedere come si evolverà la situazione anche in vista del lancio ufficiale in Italia, previsto entro la fine dell’anno.