Falha no Samsung Pay pode expor cartões de crédito dos usuários
No mês passado, a Samsung lançou no Brasil o seu método de pagamento fortemente inspirado no Apple Pay (que por sua vez está demorando demais para chegar em nosso país). Assim como o sistema de pagamentos da maçã, a solução da coreana usa o leitor de digitais para autorizar pagamentos pelo celular, substituindo o cartão de crédito. Porém, não basta correr para lançar antes e tentar usar os mesmos processos, se não cuidar também da segurança dos dados do usuário.
Esta semana, um hacker demonstrou que não é difícil “clonar digitalmente” o cartão usado no Samsung Pay, e usá-lo para compras não autorizadas.
Quando um pagamento é feito entre o celular e o terminal de pagamento, um token é gerado para proteger as informações confidenciais do cartão. Este código encriptado serve para evitar que alguém que fique entre a transmissão sem fio da transação consiga recuperar os dados do cartão. Cada vez que se utiliza o aplicativo de pagamento, é gerado um token único, que só funciona naquele dispositivo. Portanto, seria inútil um hacker roubar este código de token, que não funcionaria em outro terminal.
O problema é que parece que a Samsung não fez direito o dever de casa e este token possui um padrão relativamente fácil que já foi descoberto pelo hacker mexicano Salvador Mendoza, que conseguiu gerar outros tokens válidos apenas roubando um original. Com isso, ele foi capaz de realizar uma compra diferente, em outro lugar.
O método foi apresentado na DEFCON e pode ser visto no vídeo a seguir:
Claro que foi preciso de um pouco de tecnologia. Mendoza usou um dispositivo no seu pulso que pode servir de receptor no momento de um pagamento, que é o que possibilita o roubo do token de outra pessoa. Aí com isso, ele gerou outros tokens em seu computador e através de outro dispositivo, conseguiu efetuar uma compra em uma máquina de guloseimas, como prova de conceito.
A Samsung disse que já sabia que isso poderia ser feito, mas considera o procedimento muito complicado para que pessoas normais possam ter acesso. O problema é que criminosos não são “pessoas normais” e eles costumam se empenhar para conseguir estruturar seus crimes. Se por muito menos já somos vítimas em postos de gasolina de todo o país com cartões físicos, imagine a festa que não irão fazer com pagamentos sem cartão, bastando apenas ter um dispositivo captador embaixo da maquininha para registrar o token e clonar o cartão.
O sistema da Apple usa um processo diferente da tecnologia MST (Magnetic Secure Transmission) usada pelo Samsung Pay. No iPhone, o cartão é associado ao Touch ID, que é único do aparelho e não pode nem mesmo ser trocado fisicamente. É claro que não existe sistema perfeito e inviolável, mas até agora não conseguiram burlar a segurança do iOS e o Touch ID em pagamentos com NFC.
via The Verge