Una falla di Samsung Pay permette furti wireless dalle carte di credito (video)

Non c'è dubbio che i pagamenti da mobile siano il futuro ma (così come per ogni altra tecnologia) i rischi per la sicurezza sono sempre dietro l'angolo. Questa volta parliamo di Samsung Pay, di cui è stata recentemente scovata una falla di sicurezza che permette ad eventuali malintenzionati di eseguire pagamenti con la nostra cara di credito, anche a distanza.

La falla è stata scovata dal ricercatore Salvador Mendoza, che nel video che potete trovare in fondo spiega dettagliatamente il problema e mostra quanto possa essere facile eseguire un "furto" da una carta di credito associata a Samsung Pay.

Per comprendere il problema, vale la pena spendere qualche parola su come funzionino le transizioni con Samsung Pay: per evitare di esporre i dati sensibili della nostra carta di credito, questo sistema di pagamenti utilizza dei token, che abilitano il prelievo di denaro dal nostro conto.

Il problema è che quando viene generato un token, questo rimane attivo per un giorno, a prescindere che venga utilizzato o meno e rubare un token è più facile di quanto potreste pensare.

Mendoza dimostra come un malintenzionato potrebbe acquisire un token generato ma non utilizzato tramite un semplice dispositivo da indossare al polso, capace di intercettare le magnetic secure transmission semplicemente prendendo in mano lo smartphone.

La situazione si complica poiché, secondo Mendoza, una volta generato il primo token da una carta di credito, i successivi sarebbero prevedibili: il ricercatore lo ha dimostrato nel suo talk alla Black Hat Conference qualche giorno fa.

In sostanza, quindi, una volta rubato un token sarebbe possibile generarne altri token validi: questi possono poi essere compilati e caricati su un altro smartphone o su un dispositivo MagSpoof, quindi essere utilizzati per acquistare dei prodotti.

Mendoza lo dimostra nel filmato di seguito (in spagnolo con sottotitoli in inglese), ma aggiunge che per i suoi test ha anche inviato un suo token ad un amico che vive in Messico (dove Samsung Pay non è ancora attivo) che ha potuto utilizzarlo senza problemi per un pagamento wireless.

Attualmente tutte le carte di credito e debito compatibili con il servizio sono affette da questo problema; interpellata, Samsung ha rilasciato un generico commento, rassicurando sulla sicurezza del sistema di pagamenti e assicurando che lavorerà per risolvere eventuali vulnerabilità.