在安全研究员Salvador Mendoza提出了一种方法来攻击安全会议Defcon的付款服务后,三星工资受到火灾。
攻击通过拦截使用该服务使用每次交易生成的唯一付款令牌。Mendoza演示了如何通过使用腕部设备拦截令牌。
由于令牌仅用于一次性并在生成后24小时到期,因此攻击要求用户使用指纹进行身份验证,而无需实际完成移动支付。
查看5分钟的视频,其中Mendoza演示并解释了漏洞的工作原理。
此外,Mendoza声称他在Samsung生成所述支付令牌的方式中注意到图案。他解释说,一个黑客可以假设自己的假货和这种方式偷钱。
当然,三星很快就会回应此类索赔,并在博客章发布中解释说,“三星工资不使用黑色帽子演示文稿中声称的算法来加密支付凭据。”
然而,三星不会拒绝,攻击者可以释放用户的支付令牌并利用它们。
然而,公司指出,这是“非常困难”的推迟,因为攻击者必须在他们正在购买的那一刻物理地接近目标。因此,根据三星和它适用的支付公司,风险已被归类为“可接受的”一体。