Encontraron fallas de seguridad en el sistema de pagos #SamsungPay

Un especialista en vulnerabilidades de Android explicó en la EkoParty qué son los "tokens" que usa y sus vulnerabilidades.



Acercas el celular al lector de tarjetas y en la pantalla aparece “Autorizando” pero el pago no se completa. Pensas que hubo un error con la máquina hasta que recibis en tu celular una confirmación de pago por un monto diferente al que esperabas. Alguien te usó la tarjeta.

Salvador Mendoza explicó las vulnerabilidades de Samsung Pay durante el último día de la cumbre de seguridad informática EkoParty, que se realizó en el Centro Cultural Konex, y concluyó que la empresa, aparte de vender un celular que explota, también desarrolló un medio de pago inseguro.

Samsung Pay es un nuevo método que aprovecha los últimos celulares de la marca. Los usuarios pueden agregar sus tarjetas de crédito a la aplicación para pagar en los lectores habituales de tarjetas. Cuando las agregamos, el sistema genera un “token”, un código numérico que funciona como un “vale por” y lo usa en reemplazo de los datos de la tarjeta. Para cada transacción que hacemos, nuestro celular envía un token usando tecnología MST y NFC, el lector lo valida y la compra se completa. El problema es que los tokens expiran recién a las 24 horas y no están vinculados a ningún pago específico. Podemos interceptarlos, robarlos y gastarlos.

Salvador es un especialista en vulnerabilidades de Android y creó herramientas para obtener, manipular y reutilizar tokens. En la EkoParty habló especialmente sobre los números tokenizados y sus fallas en Samsung Pay. “Si usamos un token y se completa nuestra compra, ya está. El sistema lo quema. Pero al ser una comunicación en un solo sentido (desde el celular hacia el lector), cuando la compra no se completa el token sigue “vivo” y podemos reutilizarlo”, explica.

En la charla se demostraron dos escenarios de ataque. En el primero, alguien obtiene los datos del token de un pago que se completó. No va a poder usar ese mismo pero al analizarlo puede predecir futuras combinaciones al igual que nuestro celular las genera en modo offline. Así podría fabricar sus propios tokens para seguir usando nuestra cuenta.

El segundo es más refinado. Si también logra bloquear la comunicación entre el celular y el lector original, el token sigue “vivo” y todavia es valido para realizar una compra. Bastaria usar algún dispositivo para enviar el token a un lector y listo.

Comentá

Artículo Anterior Artículo Siguiente