Notícias

Falha no Samsung Pay pode expor cartões de crédito dos usuários

No mês passado, a Samsung lançou no Brasil o seu método de pagamento fortemente inspirado no Apple Pay (que por sua vez está demorando demais para chegar em nosso país). Assim como o sistema de pagamentos da maçã, a solução da coreana usa o leitor de digitais para autorizar pagamentos pelo celular, substituindo o cartão de crédito. Porém, não basta correr para lançar antes e tentar usar os mesmos processos, se não cuidar também da segurança dos dados do usuário.

Esta semana, um hacker demonstrou que não é difícil “clonar digitalmente” o cartão usado no Samsung Pay, e usá-lo para compras não autorizadas.

Quando um pagamento é feito entre o celular e o terminal de pagamento, um token é gerado para proteger as informações confidenciais do cartão. Este código encriptado serve para evitar que alguém que fique entre a transmissão sem fio da transação consiga recuperar os dados do cartão. Cada vez que se utiliza o aplicativo de pagamento, é gerado um token único, que só funciona naquele dispositivo. Portanto, seria inútil um hacker roubar este código de token, que não funcionaria em outro terminal.

O problema é que parece que a Samsung não fez direito o dever de casa e este token possui um padrão relativamente fácil que já foi descoberto pelo hacker mexicano Salvador Mendoza, que conseguiu gerar outros tokens válidos apenas roubando um original. Com isso, ele foi capaz de realizar uma compra diferente, em outro lugar.

O método foi apresentado na DEFCON e pode ser visto no vídeo a seguir:

Claro que foi preciso de um pouco de tecnologia. Mendoza usou um dispositivo no seu pulso que pode servir de receptor no momento de um pagamento, que é o que possibilita o roubo do token de outra pessoa. Aí com isso, ele gerou outros tokens em seu computador e através de outro dispositivo, conseguiu efetuar uma compra em uma máquina de guloseimas, como prova de conceito.

A Samsung disse que já sabia que isso poderia ser feito, mas considera o procedimento muito complicado para que pessoas normais possam ter acesso. O problema é que criminosos não são “pessoas normais” e eles costumam se empenhar para conseguir estruturar seus crimes. Se por muito menos já somos vítimas em postos de gasolina de todo o país com cartões físicos, imagine a festa que não irão fazer com pagamentos sem cartão, bastando apenas ter um dispositivo captador embaixo da maquininha para registrar o token e clonar o cartão.

O sistema da Apple usa um processo diferente da tecnologia MST (Magnetic Secure Transmission) usada pelo Samsung Pay. No iPhone, o cartão é associado ao Touch ID, que é único do aparelho e não pode nem mesmo ser trocado fisicamente. É claro que não existe sistema perfeito e inviolável, mas até agora não conseguiram burlar a segurança do iOS e o Touch ID em pagamentos com NFC.

via The Verge

Tags
Mostrar mais

iLex

Robô virtual que tem como missão organizar o site e ajudar leitores. De tempos em tempos ele desvirtua e tenta fazer outras coisas, mas nada que um hard reset não resolva.

Artigos Relacionados

  • Rudimar Serves

    Eta XAMEXUNGA! Não basta copiar, tem de fazer pior sempre!

    • André Luíz

      Sua opinião deve ser respeitada, sempre. Mas não acha que você está sendo um pouco meio(muito) alienado?
      Versões do iOS é lançado constantemente corrigindo BUGs – muitos nem noticiados que provavelmente, teriam erros de mesmas grandezas.
      No fim, tudo se corrige.
      Abraços

      • Rudimar Serves

        Conheço essa empresinha desde que surgiu! Conheço a Apple e uso Apple desde sua criação! À diferença é absurda! À Xamexunga sempre copiou e copiará a Apple! Foi essa mesma xamexunga que quase liquidou outras grandes empresas de tecnologia, como Sharp, PANASONIC, JVC e etc, exatamente por copiar descaradamente suas tecnologias!

        • Cesar Rodrigo Bagatoli

          Vocês ficam brigando à toa.. eles tem parceria em desenvolvimento de tecnologias e estão ganhando muito dinheiro, e ficam “brigando” por patente pra aparecer na midia. O que é bom é pra se copiar mesmo, assim como iOS copiou coisas do Android e Android copiou coisas da Apple.. Deviam se juntar e fazer algo realmente decente.

  • “inspirado no Apple Pay”

  • Márcio de Jesus

    Blá blá blá…

  • Alex iPilot

    iLex, entendo perfeitamente quando o Blog argumenta que o foco é o universo iOS, algumas vezes até justificando não cobrir o OS X, mas quando aparece um post como esse, alfinetando mais uma falha da Samsung (e devem ser várias) sinto-me na gentileza de elaborar uma crítica construtiva… Porque então se não for noticiado o que a Samsung faz de bom (ou tenta) como a segurança e o desbloqueio por leitura de íris, incluindo multiusuários, que já deve estar no modelo deste ano, o Blog do iPhone perde a racionalidade equilibrada que acompanho há muitos anos, na minha opinião… Por que noticiar tanto a Samsung? Não há mesmo mais nada no iOS ou na Apple? É a sensação que fica… Grato, abraços!

    • Fabio Ricardo Bulgaron

      Concordo em termos contigo, porque apesar de eu achar às vezes alguns posts mera picuinha com a Samsung, penso que neste caso o post é válido sim, porque ao passo que informa que um pagamento por NFC pode ser hackeado, já esclarece que o método usado é ineficiente no iPhone, por que a Apple usa sistema diferente de autenticação. Abraço!

      • Alex iPilot

        Eu concordo que o post é válido como informação, embora da mesma forma os usuários da Samsung podem ficar tranquilos porque o método de hacking da Apple não servirá para a Samsung… E o método para a Apple também não será praticado por “pessoas normais”… Eu condicionei minha crítica a não ver os dois lados (falhas e acertos) noticiados, não sendo assim fica esse teor de picuinha, que não considero compatível com o histórico do Blog. Não enriquece.

        • Fábio Nascimento

          Super concordo!

      • André Luíz

        Acontece que, aqui nunca uma matéria da Samsung (Iria escrever “rivais” ou “concorrentes” mas parece que o problema é com a Samsung mesmo) é escrita de forma pacífica e objetiva. Sempre tem uma frase alfinetando ou desrespeitando outras marcas. O que causa no leitor, apenas enojo.

    • Gostaria de chamar a atenção para alguns pontos, a fonte da matéria é o The Verge, que é altamente conceituado e tem um editorial bem equilibrado, então simplesmente foi o menu do dia, pois tratar notícias estrangeiras é algo rotineiro aqui e em outros periódicos. Outro detalhe, o desbloqueio com a íris mal foi lançado, um quote do próprio The Verge, em matéria recente sobre esse assunto: “Iris scans aren’t completely fool-proof — and even Samsung won’t say outright that they’re more secure than fingerprint scanning “. E se você clicar na palavra “Samsung” do post nem aparecerá tantas críticas assim.

      Desde sempre o editorial daqui surfou em alfinetadas. É difícil não alfinetar a Samsung, principalmente quando eles copiam recursos e os implementam sem eles estarem funcionando, vide o reconhecimento de digital, ou o exemplo mais recente com o Apple Pay, digo Samsung Pay. É lógico que é picuinha, mas dizer que perdeu a racionalidade equilibrada… E evidente que o negócio está fraco para o iOS, para a Apple… kkk

      A propósito, o meu celular ideal hoje seria um Galaxy S7 Edge com o iOS.

    • Alex, não é questão de alfinetar ou não alfinetar. Este blog não teria crescido tanto e sobrevivido por quase 9 anos se tivesse como objetivo “alfinetar” outras marcas.

      Sim, o foco deste blog é o iPhone e o site é voltado para usuários dele. Usuários estes que só recebem alfinetadas TODOS OS DIAS de outros sites e pessoas que nunca tocaram em um produto da Apple. Basta sair daqui para ver que a quantidade de sites que babam pela Samsung e outros dispositivos Android é muito maior, inclusive na grande mídia, em portais grandes que deveriam ser imparciais, mas não são.

      Se formos discutir parcialidade, há muito mais parcialidade do “lado de lá” do que do lado dos usuários da Apple. É difícil encontrar um site que dê o mesmo peso para um defeito da Samsung do que daria para o da Apple. Quando a maçã falha, nossa, é o fim do mundo. Mas quando um problema grave desse aparece em outra marca, mal se fala dele.

      Então, a impressão que fica é que só a Apple tem problemas, e que as outras empresas estão melhores, lançando coisas com mais qualidade. Quando isso não é verdade, apenas uma impressão imposta pela mídia, cujos interesses são mais escusos do que muita gente imagina.

      Falar de um problema grave como este na Samsung não é alfinetar, mas é mostrar para todos os usuários de iPhone de que o mundo não é exatamente esse que se vê na grande mídia, e que se as coisas por vezes são difíceis no mundo da maçã, há suas compensações.

      Se ninguém mais faz isso, nós fazemos. Pois nossa missão é confortar e bem informar os usuários da Apple, neste mar de desinformação que existe por aí, onde fazem de tudo para que quem usa um Apple se sinta mal.

      Não seja limitado em já julgar que, porque estamos falando de um defeito da concorrente isso seja alfinetada. É informação e fico feliz em ver que muitos dos leitores entenderam isso.

      • Alex iPilot

        Grato pelo manifestação.
        iLex, eu disse que era um post válido como informação! Mas veja que nessa sua resposta vc faz exatamente aquilo que venho destacando, compara o Blog do iPhone com os outros! Não! Se me permite a sugestão: não se compare à “baixaria” que assola a internet! Sim, os outros são parciais, batem na Apple, fazem piada, partem para a guerra de porrada, então você irá fazer também? Essa é a “mudança” que eu sinto…

        Um problema na Apple vira o fim do mundo porque a Apple tem os holofotes, ela é o Flamengo, são todos contra ela, ela ditou o padrão de qualidade, a marca a ser batida… Vive um momento ruim (ou pelo menos diferente do que já foi na mente dos fãs) e eu não tenho certeza se vale a pena partir pra briga e responder na mesma moeda.
        Você acha que os usuários da Apple devem então se confortar em saber que a degradação é geral? “Fiquem tranquilos porque se está ruim aqui é pior do lado de lá…” Será esse o novo paradigma da Apple?

        • Você interpretou errado também o que eu disse.
          Eu não comparei o blog com ninguém. Não disse no meu comentário “os outros fazem, fazemos também” (como você parece ter sugerido).

          É difícil discutir com você, pois você já viu todo o artigo como “picuinha”. Se você aplica já de cara essa visão infantil (eu acho picuinha algo infantil), fica difícil argumentar.

          Você me rebaixou a um adolescente que fez o artigo só de birra, porque não há nada mais do que se falar no mundo Apple (foi isso o que você disse). Então, é inútil ficar debatendo com você, que historicamente não costuma se abrir para mudar sua opinião. Então vamos deixar assim, para você sou um infantil que está fazendo picuinha e pronto. 🙂

          • Alex iPilot

            Tá bom! Tá de mal, e vou levar a minha bola! 🙂

      • Eduardo

        “Então, a impressão que fica é que só a Apple tem problemas, e que as outras empresas estão melhores, lançando coisas com mais qualidade. Quando isso não é verdade, apenas uma impressão imposta pela mídia, cujos interesses são mais escusos do que muita gente imagina.”

        Deus, não é possível. Sério?

      • Billy Wfo

        Nova duvida, blog da Samsung, blog de defesa da Apple ou blog do iPhone?
        Ps.: Pode apagar meu comentário novamente.

      • Gabriel Borges

        Ilex, você está reclamando de pessoas que falam mal da Apple sendo que nunca tocaram em um Iphone, você já tocou em um S7 EDGE?

      • David Manfred

        Eu entendi perfeitamente o que o artigo quis dizer. Nós que somos usuários da apple já somos bombardeados quando a Apple falha. E quando se trata de outras marcas a mídia nem se manifesta tanto assim. O diferencial da Apple é que ao contrário das outras, ela luta arduamente para lançar algo com máxima segurança, coisa que as outras não fazem. Lançam… depois pensam nas brechas. Enfim, não achei que o artigo foi para alfinetar, e sim informar algo que acontece quando não se trabalha fortemente na segurança de qualquer produto que seja.

        Obrigado iLex pelo esclarecimento.

    • :)

      nem adianta você perder tempo criticando… a ideia que passa é que se os outros fazem, vamos fazer também. achei totalmente desnecessário esse post.

      eu como usuário da apple (e estou ficando bem desapontado com a marca, seja nos aspectos do hardware dos dispositivos ou até mesmo no software presente neles) não vejo essa necessidade toda de demonstrar um erro da outra marca pq eles demonstram os erros da outra. eles chamam isso de alerta, eu chamo isso de desespero.

    • Felipe

      Eu concordo plenamente com você, e achei meio… idiota, se assim posso dizer, essa notícia aqui. Foi só uma tentativa de alfinetar a empresa, que “falhou” ao implantar um diferencial no serviço dela, que é a possibilidade de usar o Samsung Pay em qualquer máquina, independente de ela ter ou não NFC, pois usa o MST

    • Anderson Nilton Hurtado Antune

      Bom dia Alex, acredito que infelizmente a Apple não vem apresentando tantas grandes notícias como acontecia por volta de 2010 quando comecei a acompanhar o blog (toda semana tinha uma bela notícia) e as vezes a impressão que tenho é que o editorial está tentando coisas novas para atrair um novo público e esta notícia em especial também me deu uma impressão ruim.
      Apesar dos riscos do Samsung Pay eu ainda acredito que é mais seguro do que dar o cartão na mão de outra pessoa, pois afinal de contas se a pessoa pegou seu cartão na mão e conseguir decorar (fotografar) os números, pronto já está apta a fazer compras online.

      E esta desculpa que a Apple está demorando para lançar algo muito melhor também foi dada na época do Apple Watch e no lançamento ele não me surpreendeu em nada.

      • Alex iPilot

        Bom dia, Anderson, concordo plenamente! A Maçã mudou e o Pomar está tentando acompanhar… Também leio o Blog desde o início e é notável… A revista acabou? Enfim… Eu usaria o Samsung Pay sem receio, já tive cartões clonados e nunca perdi um centavo nem tive qualquer aborrecimento, aliás, somente soube do ocorrido quando os cartões novos chegaram na minha mão. A operadora é responsável por toda a segurança, pelo menos na lei brasileira.
        Realmente, a desculpa de demorar para fazer melhor, sem problemas, já caiu há muito tempo… Ignorar isso é “tapar sol com peneira” e não ajuda ninguém…

      • Alex iPilot

        E o agravante aqui, na questão do Apple Pay, nem é a demora em lançar por conta de aprimoramentos porque já é produto lançado, pronto em vários mercados… Então é mesmo incapacidade comercial, falta de vontade ou prioridade em negociar com bancos e operadoras, enfim buscar soluções e oferecer o produto!

        • Anderson Nilton Hurtado Antune

          Em relação a esta demora da Apple…. Eu tive iPhone 3GS, 4, 4S, 5, 5S e 6, e devido a ausência de mapas no Brasil rodando no Carplay a cerca de 45 dias migrei para o Android (Moto X Force) para usar o Android Auto com Google Maps no carro, e já anunciaram o Waze no Android Auto.

          Reconheço que o Android lança coisas sem a quantidade de testes suficientes, estou com o Android por este período e já notei que muitos aplicações contém bugs ridículos. Mas enfim, entre não ter nada e ter alguma coisa com alguns problemas, não estou arrependido.

          Inclusive fiz um video no meu canal do Youtube mostrando a diferença entre os dois sistemas (Carplay e Android Auto) e posso lhe garantir que o Android está muito a frente da maça neste quesito.

        • Anderson Nilton Hurtado Antune

          Outra coisa que está me aborrecendo no blog é que muitos dos meus comentários estão sendo excluídos pelos moderadores, nunca fui desrespeitoso ou algo do gênero, apenas postei opiniões contrárias assim como você o fez.

  • iLex está perdendo a noção: qualquer notícia positiva que a concorrencia faz ele ignora, agora qualquer deslize posta aqui? Você não era assim…

    • André Luíz

      Quando o conteúdo da própria marca não convêm ou não justifica uma aquisição de produtos mais, a melhor maneira é atacar a concorrente, não é mesmo?!
      Que nossos comentários tenha vida útil. #vivaaliberdade #SQN

    • Gabriel Borges

      Isso pra mim é desespero, até pq a Samsung venceu a APPLE em satisfação do APP PAY
      Vendas da coreana altíssimas, smartphones lindos, câmera surreal, tela então nem se fale.
      Nunca fala nada relacionado a coreana, quando fala, é pra atacar por causa de uma falha que breve será corrigida. Depois chamam ela de recalcada pq ta sempre provocando a apple nos comerciais.
      Vai entender

    • Gabriel Borges

      Apple precisa liberar logo o Apple Pay no Brasil
      Em todo lugar o da concorrente já está funcionando e as pessoas utilizando.

  • Gabriel Borges

    Então, se os usuários do S PAY usar só o NFC, não tem problema?

  • A Samsung correu mesmo com isso né. É triste uma empresa desse tamanho, com tanto dinheiro, copiando o mercado. Pegando o que os outros anunciam e fazendo mais barato, ou mais rápido. Eu nunca iria querer trabalhar assim.

  • Mariana

    Alguém poderia me ajudar? Atualizei meu iPhone pro sistema 9.3.4 e na parte das notas não aparece a opção de bloquear e nem aparece aquela opção que dá pra desenhar. Como faço para reverter essa situação ?

    • hecnpo

      Provavelmente vc tem algum outro iDevice vinculado à sua Apple ID rodando um iOS mais antigo e que portanto está numa versão do Notas mais antiga. Vc vai precisar atualizar esse outro iDevice e então abrir o app Notas nele e então virá uma notificação questionando se vc deseja migrar suas notas para o novo modelo de notas, o que vc responderá com Sim. Espero ter ajudado.

      • Mariana

        Ajudou bastante. Era esse o problema mesmo. Obrigada!!

  • Vitor Alves Lima

    O site não é sobre iphone?

    • Billy Wfo

      Cara, reparei a mesma coisa.

  • Billy Wfo

    Porque se faz tanta matéria falando sobre samsung e serviços da samsung num blog do IPHONE?

  • Alex iPilot

    Krikaoli, eu nunca disse que a Samsung seria perfeita… Isso não é novidade. Talvez novidade (e portanto notícia) seja a Apple descendo ladeira a baixo, como nunca antes… E se olharmos de maneira franca, desde as mudanças de horário de verão que a Apple lança e se enrola com imperfeições ao logo do caminho… A Samsung se mantem proficiente! Copiando ou desenvolvendo, ela corre e lança no (enorme) mercado, aos trancos mas funcionando. As Olímpíadas aqui já destacam o pagamento por NFC em parceria com a VISA, o Bradesco e a Samsung, utilizando pulseiras!
    Acho até válido alfinetadas, mas o que se percebe é que uma vez a Apple caindo ao mesmo nível e não recebendo o mesmo tratamento, a tal “racionalidade” que sempre foi característica de distinção do Blog fica abalada. Essa distinção sempre fez a diferença, na minha opinião e na de outros leitores que vejo aqui…
    Claro, lógico, evidente que o iLex edita seu Blog como bem entender, o que eu destaco é a mudança sensível na linha editorial, que antes deixava de tratar no OS X (o que eu lamento, porque gostaria de ter a mesma qualidade de informação sobre o sistema que desconheço) por “fugir do iOS” e no entanto agora noticia falhas da concorrência como quem “chuta cachorro morto” diminuindo a concorrência para tentar dar alguma dianteira para a Apple. É o sentimento.

  • Leonardo Negrisoli

    “A Samsung disse que já sabia que isso poderia ser feito…” Oi??????????????????
    Socorro…

    • Marcelo

      Pela matéria original, o que a Samsung confirmou que “é possível” é vc usar um dispositivo pra interceptar o token(que é único por operação) gerado pelo celular e usar antes do usuário original completar a transação…

      • Leonardo Negrisoli

        Ah sim, eu entendi heheh.. eu só fiquei abismado na hora com o “a gente já sabia, mas blz” haha

    • Felipe

      Acho que o que a empresa disse é que sabia que dava pra interceptar… É tipo a empresa de cartão de crédito falar que sabia que da pra clonar antes de lançar eles, é um bagulho meio impossível de a própria empresa controlar…

      • Leonardo Negrisoli

        É verdade. Boa comparação.

  • Adorar Deus Louvor Iigd

    Infelizmente ainda sim o fato de eles terem pensado no Brasil ainda é um ponto positivo para eles já que a apple parece ter esquecido do Brasil denovo, como fez na siri.

    Apesar de amar os produtos apple é uma facada no coração o descaso que eles tem com a gente. Pagamos o iPhone mais caro e metade dos recursos do iOS quando chegam aqui já estão 4 anos atrasados.

  • Fabio Correa

    Apesar das falhas de segurança que serão corrigidas, eles foram bem mais rápidos do que a Apple com seu Apple Pay que está demorando muito para ser implantado em outros paises

  • Alex iPilot

    Eu também tenho o Carplay no carro, mas foi só pra dar raiva mesmo, rsrsrs… Não uso!

    • Anderson Nilton Hurtado Antune

      Aqui no Brasil o Carplay faz basicamente as mesmas coisas que o bluetooth (faz ligação e toca musica), além disso ele é capaz de enviar SMS, se é que alguém ainda usa isto.
      No Android Auto você faz os itens anteriores e tem o google maps como navegador GPS, incluindo as informações de transito (em breve Waze) e é possível inclusive ouvir e enviar mensagens do Whatsapp.
      Queria tanto parar de equilibrar o meu celular para usar o GPS que acabei migrando de sistema operacional para usar estes recursos do carro.

      • Eduardo Pires

        Esse é um problema do Brasil.
        CarPlay tem mapa oficial da apple (que na minha visão é melhor que o Google Maps nos EUA). Ter WhatsApp no carro não é lá muito inteligente.

  • Pablo Rangel

    Fica a duvida: ter um servico que pode ser explorado em uma chance minima e simplesmente nao ter o serviço 🙂

  • Paulo Rocha

    Uma coisa eu aprendi com tecnologia, toda vez que é criada quebra-se um paradigma, e ele vai evoluindo até que outra a substitua, como aconteceu com os cartões de crédito até se tornarem mais seguros. Certamente, esse tipo de tecnologia sofrerá o mesmo processo. Por enquanto vou andar com o de plástico no bolso mesmo.

  • Francisco Vorcaro

    Apesar de gostar do blog do iphone e também ser detentor de diversos produtos da Apple, hoje uso um iPhone e um Samsung. E de propósito comprei um daqueles bem baratinhos (J1-2016) que todo mundo fala que trava, etc, etc, etc. Estou com o aparelho há seis meses e ele ainda não travou. Agora, todo mundo fala que a Samsung não atualiza nada, etc, etc, mas o que adianta a Apple atualizar o iOS se os recursos mais legais só virão para os últimos aparelhos dela? (como ocorreu com o iPad e a tela dividida).

    Todos os serviços possuem suas limitações que devem ser tratadas com cuidado e respeito ao consumidor. Eu fico realmente pensando se o Steve estivesse vivo ele iria lançar um Apple Pay. Posso estar enganado, mas quando ele voltou para a Apple, ela estava cheia de bagulhos encalhados e ele resolveu descontinuar a maioria. Agora que ela está sem ele, ela começa a seguir tendências, lançar um relógio, um serviço de pagamento e outros, ou seja, a história tende a se repetir e ela tende a cometer o mesmo erro do passado.

    Acho que isso sim seria imparcial. Quanto a samsung copiar, o que diria a Kodak de outras empresas que começaram a fazer máquinas fotográficas? E a Rayovac da Duracel?

    Mercado é mercado, quem tem dinheiro vai e faz, quem compra/consome é que diz qual mercado é melhor. E para mim, em época de Olimpíadas e um país de tamanho continental como o Brasil, a Apple só perde em nos trazer serviços atrasados e que também tem sim, qualidade duvidosa, já que há sim, como burlar o touch id. 😉

  • lordtux

    Se fosse a Apple, hauaahau, seria o fim do mundo. Imagina o Tim Cook dando uma reposta igual a da Samsung.