Se está desarrollando una historia interesante en torno a Samsung Pay: la primera parte es que los tokens de transacción pueden ser interceptados; y la segunda parte es que Samsung llama a esto un “riesgo aceptable” porque es difÃcil de hacer.
Interceptación
Los investigadores demostraron el truco en Defcon de este año, como lo señaló El borde. Se basa en la “transmisión segura magnética” de Samsung Pay para su uso con lectores de banda magnética tradicionales. Los dispositivos Samsung con esta función generan un campo magnético que transmite la información de la transacción, incluido un token único, a un lector de banda.
Resulta que la transmisión puede ser interceptada. Durante la demostración de Black Hat, un investigador lo hizo usando un equipo atado a su brazo. Sin embargo, es lo suficientemente pequeño como para esconderse dentro de una terminal de punto de venta, y un malhechor quizás podrÃa asegurarlo cerca de un lector.
El token de transacción es interceptado por el dispositivo, que luego lo envÃa por correo electrónico a una dirección designada. Luego, los investigadores demostraron el uso de ese token interceptado para realizar una transacción diferente a la que estaba destinado.
SÃ, pero todo está bien, hermano
Todo eso me suena bastante aterrador, pero Samsung no lo cree asÃ. La compañÃa emitió un comunicado negando que la demostración de Black Hat fuera precisa. En un extra fascinante, esa declaración vino con sus propias preguntas frecuentes. Seriamente. Enterrado en la parte inferior de las preguntas frecuentes estaba esta nota:
Este modelo de ataque de skimming ha sido un problema conocido revisado por las redes de tarjetas y Samsung Pay, y nuestros socios consideraron que este riesgo potencial era aceptable dada la probabilidad extremadamente baja de un ataque exitoso de retransmisión de tokens. Las redes de tarjetas y los emisores también ejecutan sus algoritmos de prevención de fraude en todos los intentos de pago, incluido Samsung Pay. Esto sirve como otra capa de protección contra la retransmisión de tokens.
Mi interpretación de esa nota al pie de las preguntas frecuentes de la declaración (!!) es, sÃ, esto es posible, pero es realmente difÃcil, asà que todo está bien, hermano.
Samsung tiene un pequeño punto. Aprovechar este tipo de truco es difÃcil. Debe completar una transacción con el token de un solo uso antes de que lo use su propietario legÃtimo. Alternativamente, los malos podrÃan usar tokens de transacciones canceladas. Pero no parece exagerado que los delincuentes establezcan sistemas automatizados que realicen rápidamente transacciones pequeñas, del tipo que pasan desapercibidas para los consumidores y para la detección de fraudes por igual.
Duh
El punto que personalmente quito es que las transacciones de banda magnética son débiles en seguridad en primer lugar. Es por eso que las compañÃas de tarjetas de crédito se han pasado a los chips (absurdamente lentos) en nuestras tarjetas. También es por eso que Apple vio una oportunidad para Apple Pay, un sistema de pago sin contacto que no es vulnerable a este tipo de exploits.
El uso de este sistema heredado por Samsung para (intentar) obtener una ventaja para su servicio de pago innecesario fue una idea estúpida en primer lugar. Es solo cuestión de tiempo antes de que alguien explote activamente esta vulnerabilidad y Samsung se vea obligado a desconectarse.
