在近日的Black Hat 2016黑帽技术大会上,安全专家Salvador Mendoza在会议上表示,三星电子(Samsung Electronics)的行动支付服务Samsung Pay或存在安全隐患,还在会议上演示了如何通过获取交易数据标记口令(TOKEN),并欺骗系统进行交易。三星发言人随后发表声明澄清,最近针对 Samsung Pay安全性的一系列报道都是不实的。
据了解,Samsung Pay与Apple Pay不同,Samsung Pay是基于磁性的非接触支付系统,在任何一款pos机都能使用,即使pos机没有第二代芯片功能。三星将信用卡数据转换为标记,希望让黑客无法从用户设备中获取到信用卡卡号信息。不过,这些防御措施并没有想象中的那么安全。网络安全研究人员的研究结果显示,Samsung Pay的标记化过程十分有限,更令人担忧的是这些标记是可以被预测出其标记的序列,黑客通过盗用Samsung Pay产生的标记,便可以用它在其它设备中不受限制的进行欺诈交易。
三星发言人回应Samsung Pay拥有最先进的安全功能,可确保所有的交易证书的加密和安全,相关报道不实。