In una presentazione in occasione della conferenza DEF CON, il ricercatore Salvador Mendoza ha preso di mira i pagamento wireless del servizio Samsung Pay identificando una serie di vulnerabilità e possibili vettori di attacco. Ma la risposta di Samsung stronca parzialmente il lavoro di ricerca e parla di attacchi praticamente “impossibili” da portare a segno.
Samsung Pay sfrutta le comunicazioni NFC per effettuare i pagamenti ed è un servizio disponibile di serie sull’ultima generazione di dispositivi mobile della linea Galaxy, e secondo Mendoza è possibile intercettare i token scambiati tra smartphone e POS al posto delle informazioni connesse alla carta di credito.
I token di autenticazione per i pagamenti vengono creati sul momento, scadono dopo 24 ore e rappresentano un meccanismo di pagamento a singolo utilizzo, ma Mendoza sostiene di aver trovato il modo di intercettare le comunicazioni contactless per eseguire attacchi di skimming e non solo.
A peggiorare le cose c’è il fatto che Samsung usa algoritmi insicuri per generare i token , sostiene Mendoza, permettendo l’ipotetica creazione di messaggi fasulli da parte di hacker particolarmente determinati.
Che le comunicazioni NFC di Samsung Pay possano essere attaccate viene ammesso anche dalla corporation sudcoreana, anche se il rischio andrebbe considerato come molto basso: gli scenari in cui un cyber-criminale potrebbe compromettere i token dei pagamenti prevedono la vicinanza fisica alla vittima e sono “estremamente difficili” da realizzare nella pratica.
Alfonso Maruccia