Exploit en Samsung Pay permitiría a hackers robar tus tarjetas de crédito

Publicado el 10 agosto 2016 por Moktar

Un grupo de investigadores han descubierto una grave vulnerabilidad en Samsung Pay, el servicio de pago de la firma coreana. Esta vulnerabilidad puede ser usada para robar información de tarjetas de crédito de forma inalámbrica.
Este exploit fue presentado en una charla Black Hat (en el argot informático, un black hat es un cracker que vulnera sistemas de seguridad por dinero o fines maliciosos) celebrada en Las Vegas. Un investigador, Salvador Mendoza, explicó al público cómo Samsung Pay traduce datos de tarjetas de crédito en tokens criptográficos para prevenir un posible robo de estos. Sin embargo, una de las limitaciones del proceso de creación de tokens es que el proceso de tokenización es predecible.
Salvador Mendoza asegura que fue capaz de usar la predicción de tokens para generar un token que luego envió a un amigo suyo en México. Samsung Pay no se puede usar en esa región, pero su contacto en México logró usar ese token para realizar una compra a través de la aplicación Samsung Pay valiéndose de un dispositivo de suplantación de identidad.
Hasta donde se sabe, no hay evidencia alguna de que esta vulnerabilidad esté siendo usada públicamente para robar información sensible.

Samsung se pronuncia

El descubrimiento de esta vulnerabilidad sin duda está causando revuelo. Samsung convocó a una conferencia de prensa para responder todas las preguntas respecto a este exploit. Samsung confirma que el método de falsificación de tokens de Salvador Mendoza sí puede ser usado para hacer transacciones ilegales, pero recalcan que se necesitan cumplir "múltiples y difíciles condiciones" para vulnerar el sistema de tokens.
Para obtener un token que sea utilizable, el atacante debe estar muy cerca de la víctima. Esto se debe a que el MST (tecnología que usa Samsung Pay) es un método de comunicación de muy corto rango. El atacante debe 1) interceptar la señal antes de que esta llegue al terminal de pago (sí, para explotar la vulnerabilidad, la víctima debe estar pagando algo en ese preciso instante) o 2) convencer a la víctima de cancelar la transacción inmediatamente después de que ésta haya sido autenticada. Fallar cualquiera de estas dos situaciones deja al atacante con un token inservible.
Samsung asegura de que tanto el riesgo como la vulnerabilidad existe, pero que su existencia es un "riesgo aceptable"; y que los mismos métodos que aplican para esta vulnerabilidad de Samsung Pay también son aplicables para hacer transacciones ilícitas en tarjetas de crédito y débito convencionales. ¿Qué opinas?
[vía Android Authority]