Qualche giorno addietro è stata dimostrata l’esistenza di una vulnerabilità in Samsung Pay, la piattaforma per i pagamenti mobili di Samsung. Salvador Mendoza, un ricercatore in ambito sicurezza, nel corso della conferenza Black Hat di Las Vegas, ha dimostrato la possibilità di intercettare i token generati ogni volta che viene effettuata una transazione.
Il meccanismo in questione, a detta del ricercatore, rende il processo debole consentendo a un hacker di predire i token futuri prelevandoli per l’utilizzo tramite un diverso dispositivo. Nel filmato che pubblichiamo in calce, l’esperto dimostra il funzionamento. Lo stesso esperto ha confermato di avere usato il meccanismo inviando token a suoi amici in Messico, riuscendo a sfruttare il sistema anche in un paese nel quale il sistema di pagamento non è ancora attivo.
Un portavoce di Samsung ha minimizzato il problema (in poche parole una nuova tecnica di skimming): “Samsung Pay è stato progettato utilizzando tutte le caratteristiche di sicurezza più avanzate, assicuriamo che tutte le credenziali di pagamento sono cifrate e mantenute al sicuro, grazie anche alla piattaforma di sicurezza Samsung Knox. Se vi è una potenziale vulnerabilità, agiremo per indagare e risolvere il problema”.
È vero che quanto dimostrato richiede competenze e capacità tecniche ma l’azienda sud coreana farebbe bene a non sottovalutare anche il minimo rischio. Samsung sostiene (in un PDF preparato come risposta) che le affermazioni del ricercatore sono imprecise ma quest’ultimo ha pubblicato un secondo video dimostrando ancora meglio il potenziale problema.