三星行動支付平臺不安全，有被駭客入侵的風險？

【商城眾網訊】每年在 Black Hat 會議上都有對不同的公共服務進行安全性分析，在過去的星期日，一名研究員指三星的 POS 行動支付服務 Samsung Pay 的演算法有著被駭客入侵的風險。在博客文章中，三星否認以上說法，并指他們的演算法與報告中的不一樣。Samsung Pay 的運作方式與銀行卡芯片相似，把手機在終端機上滑過、同步，其后就會獲得一個并非由所連結銀行帳號有關的「令牌」號碼。但這號碼在每次交易都會改變，與傳統磁帶卡只有一組 6 位數字的號碼不同。

雖說「令牌」號碼與銀行帳戶沒有直接關系，但始終還是要給系統一些提示，好讓它能收款吧。所以中間就有一套運算法了，這是一組用以產生臨時號碼的方程序。在我們使用者角度，這方程序「應該是」有足夠的復雜性來抵擋駭客的破解。只是在 Black Hat 的其中一名研究員 Salvador Mendoza 卻認為自己已經瞭解了這套一次性令牌運算法的運作，并交出了三個駭客可以用來入侵的方法。其一是利用磁帶卡片來蒙騙系統去產生一組令牌，然后阻礙交易來逼使系統產生另一組令牌，此時駭客就利用第一組令牌和工具來截取新令牌。

三星否認 Mendoza 描述其演算法的運作，并在博客文章中指出他們已經在 FAQ 頁面 上解釋了系統是如何抵擋駭客入侵。Samsung Pay 是利用 Knox 軟體 和硬體認證，再輔以TrustZone 處理器結構來運算這些敏感資料。其后三星再補充指其行動支付服務是由多層安全系統保護著，再由與合作伙伴一起開發安全系統來偵測危險。

不過在 FAQ 頁面上，沒有對應訊息被干擾和「撤銷」未用的令牌的情況作解釋。不過 Mendoza 所建議的方法需要駭客與目標人物非常靠近，才能在后者付款被收納之前及時把訊號阻擋。不過此時，Samsung Pay 使用者應該會有所警覺發現交易有問題，而且也因為每次交易過程都會涉及到三星和銀行的欺詐分析算法，所以有關的入侵并不太可能發生。

（轉載至網絡，僅作為相關資訊的傳播普及目的，如果原作者發現內容的使用不符合本人意愿，請聯系本站作者或客服，將第一時間刪除處理）