นักวิจัยด้านความปลอดภัยเปิดเผยว่าตรวจพบข้อจำกัดด้านความปลอดภัยในระบบ Samsung Pay ซึ่งเปิดโอกาสให้แฮกเกอร์สามารถใช้โทรศัพท์ Smart Phone เครื่องอื่น ๆ นำข้อมูลไปดำเนินธุรกรรมอื่นได้อย่างง่ายดาย
เทคโนโลยี Contactless Payment ที่ใช้กลไกการเหนี่ยวนำทางแม่เหล็กซึ่งกลายเป็นลูกเล่นมาตรฐานของ Smart Phone รุ่นใหม่ ๆ จากค่าย Samsung อันเป็นการแปลงข้อมูลจากบัตรเครดิตไปเป็น Token ซึ่งมีจุดประสงค์เพื่อป้องกันไม่ให้แฮกเกอร์สามารถอ่านค่าบัตรเครดิตได้ ตอนนี้กลายเป็นว่าไม่ปลอดภัยดั่งที่ Samsung ตั้งเป้าหมายไว้
นักวิจัยชื่อ Salvador Mendoza พบ ว่ากระบวนการสร้าง Token มีข้อจำกัดบางประการ หนักไปกว่านั้นก็คือแฮกเกอร์สามารถคาดเดาลำดับขั้นตอนของการสร้าง Token ได้ อธิบายได้ว่าเมื่อแอปพลิเคชั่นบน Smart Phone ทำการสร้าง Token ชุดแรกออกมาจากการอ่านค่าบัตรใบบัตรหนึ่ง หากแฮกเกอร์สามารถอ่านค่า Token นั้นได้ก็จะสามารถคาดคะเนได้ว่า Token ต่อไปที่จะถูกสร้างในอนาคตจะมีค่าเป็นเท่าใด สิ่งที่แฮกเกอร์จะทำต่อก็คือขโมยค่า Token นั้นและโปรแกรมลงในอุปกรณ์ฮาร์ดแวร์เพื่อลักลอบสร้าง transaction แสดงตัวแทนเจ้าของบัตรตัวจริง เรื่องนี้จึงกลายเป็นฝันร้ายของการพัฒนาเทคโนโลยีการลักลอบสำเนาบัตรเครดิต แบบจับตัวคนร้ายไม่ได้เสียอีก
ไม่ใช้แค่คิดทฤษฎีอย่างเดียว แต่นาย Mendoza ทดลองส่ง Token ให้กับเพื่อนคนหนึ่งของเขาในประเทศเม็กซิโก เพื่อนคนดังกล่าวสามารถนำ Token ไปถอดรหัสและแปลงกลับมาเป็นรหัสแม่เหล็กผ่านทางอุปกรณ์ฮาร์ดแวร์ แถมประสบความสำเร็จกับการรูดบัตรซื้อสินค้า เรื่องนี่น่ากลัว หนักตรงที่ว่าเอาเข้าจริง ๆ แล้ว Samsung Pay ยังไม่ได้เปิดให้บริการในแม็กซิโก แปลว่าแฮกเกอร์สามารถขโมย Token ไปใช้งานที่ไหนก็ได้
นักทดลองอย่างทดสอบข้อกังวลของเขา แล้วก็พบว่าเทคนิคของแฮกเกอร์นี้สามารถถอดรหัสได้หมดทั้งบัตรเครดิต บัตรเดบิต หรือแม้กระทั่งบัตร Prepaid จากทุกธนาคาร ยกเว้นอย่างเดียวคือข้อมูลจากบัตร Gift Card นอกจากนั้นนาย Mendoza ยังแสดงการสาธิตของเขา มีทั้งบรรยายเป็นภาษาสเปนและภาษาอังกฤษ ส่งไปบน YouTube อีก ทำเอา Samsung ถึงกับเต้นและรีบออกมาให้ข่าวว่า Samsung จะรีบตรวจสอบและแก้ไขปัญหาดังกล่าวอย่างรวดเร็วเหมือนกับการตรวจพบปัญหาใน ทุก ๆ ครั้ง
อ่านเพิ่มเติมที่นี่ : http://www.zdnet.com/article/flaw-in-samsung-pay-lets-hackers-wirelessly-skim-credit-cards/
