手機行動支付目前在各國如火如荼的發展,許多科技大廠包括 Apple、Google、三星也都爭相搶進。不過最近有國外資安專家指出,三星旗下行動支付系統 Samsung Pay 有重大漏洞,讓駭客可以透過此一漏洞從遠端直接收集用戶的信用卡資料。
(圖/彭博社)
國外科技媒體 AppleInsider 報導,國外一名資安專家 Salvador Mendoza 在黑帽駭客大會上表示,三星 Samsung Pay 的安全漏洞出現在其使用的「磁力安全傳輸技術」(Magnetic Secure Transmission, MST),這種技術可以用在現有磁條式的 POS 機台,並且將傳統磁條卡讀取機變成非接觸式支付刷卡系統。而使用 Samsung Pay 付款的 Android 手機不需要儲存信用卡密碼,只要儲存一組代碼就可以進行,如此一來就可以減少信用卡密碼被駭客盜用的風險。
(圖/路透社)
不過,雖然這樣的設計立意良善,但卻有一個漏洞。因為用戶每次開啟 Samsun Pay,都會有一組全新的代碼傳回來。不過若這組代碼在有效期間、並在一定的範圍內被駭客攔截,並安裝在其他的裝置上,就可以假冒用戶的帳號並完成消費。
(圖片來源/Samsung)
Salvador Mendoza 在現場實際展示,結果真的就完成了 Samsung Pay 的攔截;他指出,信用卡、預付卡、簽帳卡等都可能有被駭客攻擊的風險。
針對此事,三星日前回應指出,Samsung Pay 具有先進的安全機制,可以確保所有的交易資訊都是經過加密且相當安全的,並認為該報導不實。不過三星也指出,任何可能存在的漏洞,他們都會加以調查並提供解決方案。