samsung-pay-final

Una falla di Samsung Pay permette furti wireless dalle carte di credito (video)

Giuseppe Tripodi -

Non c’è dubbio che i pagamenti da mobile siano il futuro ma (così come per ogni altra tecnologia) i rischi per la sicurezza sono sempre dietro l’angolo. Questa volta parliamo di Samsung Pay, di cui è stata recentemente scovata una falla di sicurezza che permette ad eventuali malintenzionati di eseguire pagamenti con la nostra cara di credito, anche a distanza.

La falla è stata scovata dal ricercatore Salvador Mendoza, che nel video che potete trovare in fondo spiega dettagliatamente il problema e mostra quanto possa essere facile eseguire un “furto” da una carta di credito associata a Samsung Pay.

Per comprendere il problema, vale la pena spendere qualche parola su come funzionino le transizioni con Samsung Pay: per evitare di esporre i dati sensibili della nostra carta di credito, questo sistema di pagamenti utilizza dei token, che abilitano il prelievo di denaro dal nostro conto.

LEGGI ANCHE: Samsung Pay Mini sempre più concreto: presentata la richiesta di registrazione del marchio

Il problema è che quando viene generato un token, questo rimane attivo per un giorno, a prescindere che venga utilizzato o meno e rubare un token è più facile di quanto potreste pensare. Mendoza dimostra come un malintenzionato potrebbe acquisire un token generato ma non utilizzato tramite un semplice dispositivo da indossare al polso, capace di intercettare le magnetic secure transmission semplicemente prendendo in mano lo smartphone.

La situazione si complica poiché, secondo Mendoza, una volta generato il primo token da una carta di credito, i successivi sarebbero prevedibili: il ricercatore lo ha dimostrato nel suo talk alla Black Hat Conference qualche giorno fa.

In sostanza, quindi, una volta rubato un token sarebbe possibile generarne altri token validi: questi possono poi essere compilati e caricati su un altro smartphone o su un dispositivo MagSpoof, quindi essere utilizzati per acquistare dei prodotti.

Salvador Mendoza MagSpoof

Mendoza lo dimostra nel filmato di seguito (in spagnolo con sottotitoli in inglese), ma aggiunge che per i suoi test ha anche inviato un suo token ad un amico che vive in Messico (dove Samsung Pay non è ancora attivo) che ha potuto utilizzarlo senza problemi per un pagamento wireless.

Attualmente tutte le carte di credito e debito compatibili con il servizio sono affette da questo problema; interpellata, Samsung ha rilasciato un generico commento, rassicurando sulla sicurezza del sistema di pagamenti e assicurando che lavorerà per risolvere eventuali vulnerabilità.

Via: ZDNet
  • Razvan Sorin Dudas Cocos

    Questo è un problema gravissimo, ed è uno dei motivi per cui ho sempre ritenuto consigliabile utilizzare il sistema di pagamenti di base delle varie piattaforme, quindi Android Pay e Apple Pay, perchè più sicuri e perchè ci si può a mio parere fidare molto di più di Google e Apple piuttosto che di Samsung per quanto riguarda la sicurezza del software…ovviamente tra tutti considero il più sicuro Apple Pay grazie al Secure Enclave e alla criptazione hardware invece che software degli iPhone, ma per quanto ne so io finora anche Android Pay non è stato violato, e Google è un’azienda che si occupa di software e servizi soprattutto, a differenza di Samsung, quindi direi che ci si possa fidare.

    • Federico S.
      • Razvan Sorin Dudas Cocos

        Mmm, spiacente ma proprio no…nell’articolo che tu hai menzionato non si parla affatto di alcuna vulnerabilità di Apple Pay, nè di come qualcuno sia riuscito ad ottenere alcuna informazione importante o il token o il numero della carta tramite Apple Pay. Lì si parla semplicemente del fatto che la verifica delle carte sia affidata alle banche, non a Apple, e quindi ogni banca inserisce i sistemi di verifica che preferisce affinché una carta possa essere aggiunta ad Apple Pay…se alcune banche sono state un po’ stupide e non hanno imposto dei controlli seri per verificare l’identità della persona che stesse aggiungendo la carta non è certo colpa di Apple, o di Apple Pay, bastava che fosse necessario chiamare la propria banca e magari ricevere pure per posta un codice prima di poter aggiungere una carta ad Apple Pay e questo problema non ci sarebbe stato…ma questo, come detto, non è un problema o una prerogativa di Apple Pay, ma delle banche stesse, e infatti il problema si è verificato solo con quelle banche che non avevano controlli adeguati. La situazione è ben diversa da quella di questo caso, in cui i dati, o in questo caso il token, siano intercettabili e soprattutto riutilizzabili, proprio tramite l’uso di Samsung Pay, che quindi ha una vulnerabilità intrinseca.

        • ziobelo

          Ok, sei un fan di Apple e va bene ci può stare. Però prima di tutto i token non sono assolutamente riutilizzabili, per carpirli è necessario comunque avere accesso al telefono nonchè avvicinarlo o comunque tenerlo in mano sbloccato infine anche se di vulnerabilità intrinseca di parla non dimentichiamoci che stiamo parlando di token generati ma non utilizzati cosa che già di per se è sbagliata. Non so se un token generato ma non utilizzato sia cancellabile, ma di sicuro se lo fosse io non lo lascerei li a prescindere se me lo si possa rubare o meno. Ricordatevi comunque che in ogni caso l’unico sistema inviolabile è un sistema spento!

          • Razvan Sorin Dudas Cocos

            Per favore lasciamo da parte fan, fanboy e quant’altro e concentriamoci invece sul sistema e sull’articolo. C’è scritto chiaramente che “un token generato resta attivo per un giorno, a prescindere che venga utilizzato o meno”, i token non sono certo visibili all’utente, per cui tantomeno cancellabili, e che a causa di questa vulnerabilità rubare un token è molto facile. Forse non ti ricordi o non ti è mai successo, ma anche rubare i PIN o falsificare le carte di credito era possibile semplicemente aggiungendo un dispositivo esterno ai bancomat o ai pos, e sarebbe altrettanto facile aggiungere questo dispositivo per intercettare il token. E la cosa più grave è che non importa se poi quel token sia stato utilizzato o meno, perché anche solo intercettandone uno si possono prevedere quelli futuri e in questo modo utilizzarli per pagamenti. Io invece considero sistemi inviolabili tutti quelli che non sono ancora stati violati, finché non saranno violati, quindi a meno che tu non abbia qualche fonte o prova che Android Pay e Apple Pay siano mai stati violati, li riterrò più sicuri di Samsung Pay. Quanto all’accusa di essere fan semplicemente perché poi tra Android Pay e Apple Pay considero più sicuro il secondo, sinceramente riterrei non imparziale chi dicesse il contrario, perché non si può negare che il Secure Enclave è per ora il meglio dei processori di sicurezza di tutti gli smartphone, e che la criptazione hardware è indubbiamente superiore a quella solo software, con in più il vantaggio di non rallentare lo smartphone nell’uso quotidiano.

          • ziobelo

            Ok, sei un fan di Apple. Inoltre dovresti cercare di leggere meglio visto che c’è scritto: “Mendoza dimostra come un malintenzionato potrebbe acquisire un token generato ma non utilizzato…” quindi un token NON utilizzato perchè presumo che un token una volta utilizzato viene distrutto. Per quanto riguarda invece la generazione di un token e la sua successiva cancellazione non vedo perchè non lo si possa cancellare, io mica voglio vederlo voglio cancellarlo quindi non vedo quale possa essere il problema. Rileggere l’articolo per favore e non mentre si gioca a Pokemon Go se possibile.

          • Razvan Sorin Dudas Cocos

            Tu presumi che venga distrutto, nell’articolo però c’è scritta un’altra cosa, e visto che nel commento precedente non hai visto la citazione te la riporto di nuovo: “un token generato resta attivo per un giorno, a prescindere che venga utilizzato o meno”. Ma anche fosse che un token utilizzato venga distrutto, essendo già stato intercettato, e potendo prevedere i token futuri, la sicurezza è compromessa. E i token dovrebbero essere gestiti automaticamente da Samsung Pay, dubito fortemente che un utente abbia qualsiasi tipo di controllo sui token, ma come detto, pure se il token potesse essere eliminato, sarà possibile prevedere e utilizzare quelli futuri. Quindi la prossima volta prima di consigliare a qualcun altro di rileggere l’articolo, segui il tuo stesso consiglio.

          • ziobelo

            Se viene distrutto dopo l’utilizzo può essere intercettato solo prima dell’utilizzo… Scrivi frasi leggermente incoerenti l’una con l’altra. Rileggiti attentamente l’articolo che inizia col dire che un token resta attivo per un giorno a prescindere che venga utilizzato o meno (ma questo lo ritengo probabile allo 0,000000001 percento) dopodichè dice come Mendoza abbia intercettato un token GENERATO MA NON UTILIZZATO. Questo mi fa anche presumere che il token dopo l’utilizzo venga distrutto visto che lui è riuscito ad intercettarne uno GENERATO MA NON UTILIZZATO. Resta il fatto che per intercettare un token in questo stato il telefono deve essere sbloccato o privo di qualunque blocco di accesso.

          • Razvan Sorin Dudas Cocos

            Mamma mai eppure non mi sembra affatto una cosa complicata, magari non vuoi capire. Quando vuoi fare un pagamento con Samsung Pay sblocchi il telefono, fai tutto quello che devi fare e lo avvicini al POS, se nei pressi del POS c’è anche un dispositivo come quello del video dell’articolo allora i dati che Samsung Pay invia per fare il pagamento, cioè il token, vengono intercettati. Il token è stato generato per questa transazione, o al massimo nelle 24 ore precedenti, ma quando sta per essere utilizzato per fare il pagamento viene intercettato. Una volta che il pagamento è fatto, l’articolo è un po’ contraddittorio quindi non so se il token rimane comunque attivo fino allo scadere delle 24 ore (si spera proprio di no perché allora davvero Samsung Pay sarebbe inutile), o se viene subito distrutto, ma tutto questo non cambia nulla, perché è già stato anche intercettato, e anche se non potrà più essere utilizzato, grazie a esso chi l’ha intercettato potrà prevedere i token futuri e quindi eseguire pagamenti. Davvero non mi sembra difficile da capire. L’unico motivo per cui Mendoza parla inizialmente di un token generato ma non utilizzato è per spiegare l’esempio più semplice per l’intercettatore, che una volta intercettato il token non deve neanche stare a prevedere quelli futuri siccome può usare già quello dato che non è stato utilizzato. Meglio di così non so come dirtelo.

          • ziobelo

            Volevo aggiungere un commento anche per quanto riguarda lo “chupa-cabra” cioè quel dispositivo che è in grado di “carpire” il PIN della carta di credito. Questi dispositivi possono funzionare solo inserendoci fisicamente la carta e digitando correttamente il PIN quindi un argomento del tutto diverso, nulla a che fare con NFC e simili.

          • Razvan Sorin Dudas Cocos

            Invece che un dispostitivo del genere, in questo caso c’è un altro dispositivo che intercetta il token, non ho detto che siano la stessa cosa, ma che sia un processo simile.

          • Federico S.

            Apple pay non è l’unco a usare la crittazione hardware http://security.samsungmobile.com/doc/Press_Guidance_Samsung_Pay.pdf

          • Razvan Sorin Dudas Cocos

            Io non mi riferivo alla criptazione del solo Apple Pay e di Samsung Pay (ci mancherebbe solo che non fosse criptato), ma della criptazione hardware dell’intero smartphone, quella criptazione che è stata introdotta di default finalmente per Android con Marshmallow, solo che ovviamente unicamente software visto che servirebbe hardware apposta.

  • Federico S.

    ok, però il malintenzionato mi dovrebbe prendere il telefono, sbloccarlo e autorizzare una transazione con PIN o impronta digitale… non dico sia impossibile, ma di sicuro non è proprio facile facile…