تماشا کنید: شکاف امنیتی در سیستم پرداخت موبایل سامسونگ پی (Samsung Pay)

در حال حاضر سه سیستم پرداخت موبایل مطرح در جهان وجود دارد که دو تا از آنها متعلق به اپل و گوگل هستند و دیگری هم متعلق به برند کره‌ای سامسونگ است. امنیت هر سه سیستم کاملا بالاست و بارها در تبلیغات مختلف این شرکت ها هم به این موضوع اشاره شده، اما گویا سامسونگ پی (Samsung Pay) در این زمینه کمی از رقبای آمریکایی خود عقب‌تر است.
سیستم‌های پرداخت با استفاده از موبایل یکی دو سالی است که رواج پیدا کرده‌اند و مهمترین بحث در جلب نظر کاربران برای استفاده از این سیستم‌ها، تضمین کردن امنیت آنهاست. مطمئنا برای کاربری که حتی به سیستم‌های پرداخت با استفاده از کارت‌های اعتباری بانکی هم اعتماد ندارد، راضی شدن به استفاده از پرداخت قبوض و هزینه‌ها با استفاده از موبایل بسیار نا‌امن جلوه می‌کند و تغییر این موضوع به زمان زیادی نیاز دارد.

اما هرچه قدر هم که این کمپانی‌ها برای جلب رضایت کاربران تلاش کنند، بروز یک اتفاق نظیر آنچه که درباره‌ی سیستم سامسونگ پی رخ داده است، می‌تواند تمام تلاشهای آنها را نقش بر آب کند! به تازگی یک متخصص امنیتی به نام سالوادور مندوزا (Salvador Mendoza) در گفتگویی که با او در جریان رویداد Black Hat در شهر لاس وگاس آمریکا انجام شد، از یک شکاف امنیت و باگ خطرناک برای سامسونگ پی رونمایی کرده است که در نهایت منجر به هک شدن آن می‌شود.

اساس کار سیستم پرداخت موبایلی سامسونگ به این صورت است که هنگام انجام شدن هر معامله و هر تراکنش مالی، این سامسونگ پی یک نشان رمزی (توکن) اختصاصی برای آن معامله ایجاد می‌کند. این توکن منحصر به فرد باعث می‌شود که اطلاعات کارت بانکی آن کاربر زیر پوشش قرار بگیرد و حتی اگر در بین راه، هکری توانست در روند معامله نفوذ کند، قادر به خارج کردن و خواندن اطلاعات حساس کارت بانکی نباشد.

اما طبق ادعای آقای مندوزا، این سیستم بعد از هر تراکنش و هر بار ساختن یک توکن جدید، ضعیف و ضعیف‌تر می‌شود و این روند تا جایی پیش می‌رود که بعد از انجام شدن چندین تراکنش بانکی به اندازه‌ی کافی، هکر می‌تواند الگوریتم آن را تشخیص داده و توکن‌های بعدی را حدس بزند! این باگ امنیتی بعد از چند تلاش متوالی هکر را قادر می‌سازد که با ساخت توکن های جعلی، آنها را بر روی دیوایس دیگری استفاده کند و در واقع از حساب آن کاربر بهره ببرد.

این هکر برای این که ادعای خود را ثابت کند، یک توکن را برای دوستش در کشور مکزیک ارسال می‌کند و او هم موفق می‌شود که از آن توکن جعلی استفاده کند، آن هم در حالی که سیستم پرداخت سامسونگ پی هنوز در کشور مکزیک به طور رسمی راه اندازی نشده است! در ویدیوی زیر می‌توانید روند انجام این کار و نفوذ به سیستم اعتباری سامسونگ را در عمل مشاهده کنید:

دیوار امنیتی سامسونگ پی هنوز هم آسیب پذیر است؟

در حال حاضر هنوز مشخص نیست که آیا کمپانی کره‌ای این مشکل را در سیستم پرداخت موبایلی خود برطرف کرده است یا خیر، اما یک سخن‌گو از سامسونگ درباره‌ی این سیستم اظهار نظری داشته است که خواندن آن می‌تواند جالب باشد:

سامسونگ پی با بهره‌گیری از پیشرفته‌ترین تکنولوژی‌ها و قابلیت‌های امنیتی ساخته شده است تا مطمئن شویم که از تمام اطلاعات پرداختی محافظت شده و در جای امنی از انها نگهداری می‌شود که البته برای حفاظت بیشتر، این قابلیت‌ها با سیستم امنیتی Samsung Knox ترکیب شده‌اند. اگر در هر زمانی یک آسیب‌پذیری بالقوه وجود داشته باشد، ما به سرعت وارد عمل می‌شویم تا مشکل را بررسی کرده و آن را حل کنیم.