Samsung Pay, pagamenti NFC vulnerabili

Il servizio contactless di Samsung presta il fianco a vulnerabilità ed attacchi, dicono i ricercatori. La corporation si dice informata, e sostiene che il problema non sussista

Roma – In una presentazione in occasione della conferenza DEF CON, il ricercatore Salvador Mendoza ha preso di mira i pagamento wireless del servizio Samsung Pay identificando una serie di vulnerabilità e possibili vettori di attacco. Ma la risposta di Samsung stronca parzialmente il lavoro di ricerca e parla di attacchi praticamente “impossibili” da portare a segno.

Samsung Pay sfrutta le comunicazioni NFC per effettuare i pagamenti ed è un servizio disponibile di serie sull’ultima generazione di dispositivi mobile della linea Galaxy, e secondo Mendoza è possibile intercettare i token scambiati tra smartphone e POS al posto delle informazioni connesse alla carta di credito.

I token di autenticazione per i pagamenti vengono creati sul momento, scadono dopo 24 ore e rappresentano un meccanismo di pagamento a singolo utilizzo, ma Mendoza sostiene di aver trovato il modo di intercettare le comunicazioni contactless per eseguire attacchi di skimming e non solo.

A peggiorare le cose c’è il fatto che Samsung usa algoritmi insicuri per generare i token , sostiene Mendoza, permettendo l’ipotetica creazione di messaggi fasulli da parte di hacker particolarmente determinati.

Che le comunicazioni NFC di Samsung Pay possano essere attaccate viene ammesso anche dalla corporation sudcoreana, anche se il rischio andrebbe considerato come molto basso: gli scenari in cui un cyber-criminale potrebbe compromettere i token dei pagamenti prevedono la vicinanza fisica alla vittima e sono “estremamente difficili” da realizzare nella pratica.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • collione scrive:
    eh si solo su linux/android
    http://news.softpedia.com/news/falseconnect-vulnerability-affects-software-from-apple-microsoft-oracle-more-507329.shtmlnulla da dire signori macachi e winari?
  • max_fix scrive:
    fatti non pettegolezzi
    E il macaco si sgonfia.
    • Maxsix scrive:
      Re: fatti non pettegolezzi
      - Scritto da: max_fix
      E il macaco si sgonfia.Fin quando tutti gli aggiornamenti arrivano con solerzia puntualità su tutte le periferiche supportate, direi proprio che dormo tranquillo.Alla faccia anche di sancho panza che finalmente ha ricominciato a trollare e a sbracciarsi come si deve.
      • ... scrive:
        Re: fatti non pettegolezzi
        - Scritto da: Maxsix
        - Scritto da: max_fix

        E il macaco si sgonfia.

        Fin quando tutti gli aggiornamenti arrivano con
        solerzia puntualità su tutte le periferiche
        supportate, direi proprio che dormo
        tranquillo.

        Alla faccia anche di sancho panza che finalmente
        ha ricominciato a trollare e a sbracciarsi come
        si
        deve.mhhhh... (newbie)(newbie)Quella M maiuscal nel nick puzza di clone troll lontano un miglio oppure sei ottenebrato dalle salamelle.(rotfl)(rotfl)
        • ... scrive:
          Re: fatti non pettegolezzi
          - Scritto da: ...
          - Scritto da: Maxsix

          - Scritto da: max_fix


          E il macaco si sgonfia.



          Fin quando tutti gli aggiornamenti arrivano con

          solerzia puntualità su tutte le periferiche

          supportate, direi proprio che dormo

          tranquillo.



          Alla faccia anche di sancho panza che finalmente

          ha ricominciato a trollare e a sbracciarsi come

          si

          deve.
          mhhhh... (newbie)(newbie)
          Quella M maiuscal nel nick puzza di clone troll
          lontano un miglio oppure sei ottenebrato dalle
          salamelle.
          (rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(idea) :-o(idea)(rotfl)(rotfl)(rotfl)(rotfl) :@ :@ :@(idea) :@ :@ :@(rotfl)(rotfl) :@(cylon)(cylon)(idea)(cylon)(cylon) :@(rotfl)(idea) :@(cylon)(nolove)(idea)(nolove)(cylon) :@(rotfl) :-o(idea)(idea)(idea)(newbie)(idea)(idea)(idea) :-o(idea) :@(cylon)(nolove)(idea)(nolove)(cylon) :@(rotfl)(rotfl) :@(cylon)(cylon)(idea)(cylon)(cylon) :@(rotfl)(rotfl) :@ :@ :@(idea) :@ :@ :@(rotfl)(rotfl)(rotfl)(rotfl)(idea) :-o(idea)(rotfl)(rotfl)(rotfl)
      • loggati scrive:
        Re: fatti non pettegolezzi
        Stai zitto! Mentre voi ve la ridevate degli altri:http://www.cultofmac.com/438881/critical-flaw-leaves-all-apple-devices-open-to-password-thieves/"the flaw as an extremely critical bug, comparable to the Android Stagefright""Cento volte peggio di androcesso!
  • supala scrive:
    prendete esempio da Microsoft
    Prendete esempio da Microsoft che ieri ha rilasciato su Windows Update le patch di sicurezza per Windows 10 Mobile per TUTTI i dispositivi.Altro che il caos di Android fortemente dipendente dal dispositivo
    • bubba scrive:
      Re: prendete esempio da Microsoft
      - Scritto da: supala
      Prendete esempio da Microsoft che ieri ha
      rilasciato su Windows Update le patch di
      sicurezza per Windows 10 Mobile per TUTTI i
      dispositivi.
      Altro che il caos di Android fortemente
      dipendente dal
      dispositivoper ben tutti e TRE i dispositivi? whoa :D
      • vecchiaccio scrive:
        Re: prendete esempio da Microsoft
        ROTFL!
      • Ethype scrive:
        Re: prendete esempio da Microsoft
        - Scritto da: bubba
        - Scritto da: supala

        Prendete esempio da Microsoft che ieri ha

        rilasciato su Windows Update le patch di

        sicurezza per Windows 10 Mobile per TUTTI i

        dispositivi.

        Altro che il caos di Android fortemente

        dipendente dal

        dispositivo
        per ben tutti e TRE i dispositivi? wha :Dper i 3 smartphone e per i miliardi di notebook e desktop esistenti.è google il problema.
        • bubba scrive:
          Re: prendete esempio da Microsoft
          - Scritto da: Ethype
          - Scritto da: bubba

          - Scritto da: supala


          Prendete esempio da Microsoft che ieri
          ha


          rilasciato su Windows Update le patch di


          sicurezza per Windows 10 Mobile per
          TUTTI
          i


          dispositivi.


          Altro che il caos di Android fortemente


          dipendente dal


          dispositivo

          per ben tutti e TRE i dispositivi? wha :D
          per i 3 smartphone e per i miliardi di notebook e
          desktop
          esistenti.installano Windows 10 Mobile in un desktop? la mobilita' e' assicurata da un carretto con 3 ruote e generatore a benzina? feko :)
    • user_ scrive:
      Re: prendete esempio da Microsoft
      Grandi casini oggi per gli ultimi aggiornamenti di win 7, qua la guida per come uscirne (windows update checking for hours):http://www.askvg.com/fix-windows-7-keeps-checking-for-updates-for-hours/seguire la sequenza degli aggiornamenti manuali da installare....-----------------------------------------------------------Modificato dall' autore il 11 agosto 2016 15.34----------------------------------------------------------------------------------------------------------------------Modificato dall' autore il 11 agosto 2016 15.34-----------------------------------------------------------
      • bubba scrive:
        Re: prendete esempio da Microsoft
        - Scritto da: user_
        Grandi casini oggi per gli ultimi aggiornamenti
        di win 7, qua la guida per come uscirne (windows
        update checking for
        hours):

        http://www.askvg.com/fix-windows-7-keeps-checking-

        seguire la sequenza degli aggiornamenti manuali
        da
        installare....ghhgeaarrrww... mi e' capitata sta rogna. tra l'altro avevo il tipico setup 'winupdate checka ma non scaricare'... il quale ovviamente? non vale per winupdate medesimo (il verboso pannello cmq lo dice da qualche parte)...(devo ancora riprenderlo in mano.....)
        • bubba scrive:
          Re: prendete esempio da Microsoft
          - Scritto da: bubba
          - Scritto da: user_

          Grandi casini oggi per gli ultimi aggiornamenti

          di win 7, qua la guida per come uscirne
          (windows

          update checking for

          hours):




          http://www.askvg.com/fix-windows-7-keeps-checking-



          seguire la sequenza degli aggiornamenti manuali

          da

          installare....
          ghhgeaarrrww... mi e' capitata sta rogna. tra
          l'altro avevo il tipico setup 'winupdate checka
          ma non scaricare'... il quale ovviamente? non
          vale per winupdate medesimo (il verboso pannello
          cmq lo dice da qualche
          parte)...

          (devo ancora riprenderlo in mano.....)l'ho poi preso in mano e anche se quel post (o meglio il 1'punto) e' scritto un po da culo (TROPPO sintetico) effettivamente e' quel che va fatto... fargli ingugnare a forza dei winupdate via via "piu' recenti", sinche non va a posto :P( mentre esaminavo la cosa, ho visto che e' pieno di casini generati dal povero WU (o meglio dalla gestione che deve fare dei millemila update,rollback,spack, fix, fix degli update) :P )
    • Izio01 scrive:
      Re: prendete esempio da Microsoft
      - Scritto da: supala
      Prendete esempio da Microsoft che ieri ha
      rilasciato su Windows Update le patch di
      sicurezza per Windows 10 Mobile per TUTTI i
      dispositivi.
      Altro che il caos di Android fortemente
      dipendente dal dispositivoPrendere esempio dallo storico creatore di falle?Che bravi, ne hanno patchata una! Al prossimo mese patcheranno le altre 215 che saranno emerse nel frattempo (o che sono emerse sei mesi fa e non hanno ancora sistemato).Davvero, lodare MS per le patch di sicurezza è paradossale :|
  • Elrond scrive:
    Ah, Verify apps...
    Ah sì, quella cosa che disattivo 5 nanosecondi dopo aver installato il Play Market (è un servizio del Market, non dei Play Services; con "Disable Services" si può... disabilitare) perchè non voglio che Big G si faccia i cavoli miei... Micro g è tutta salute.
  • user_ scrive:
    Come si attiva questo verify apps ?
    Come si attiva questo verify apps ?Dove bisogna andare ?
    • user_ scrive:
      Re: Come si attiva questo verify apps ?
      Turn app verification on or offThe "Verify apps" feature regularly checks activity on your device and prevents or warns you about potential harm. If you have a device with multiple users, only the device's owner can turn verification on or off. Open your device's Settings app Settings. Under "Personal," tap Security. Under "Verify apps," turn Scan device for security threats on or off. When this setting is on, it regularly checks your device activity and prevents or warns about potential harm.Ways your device warns you about potentially harmful appsWith "Verify apps" turned on, your device will check apps when you install them and periodically scan for potentially harmful apps.
  • Ciccio scrive:
    a me no
    Hanno patchato solo 3 delle 4 (ed ho Nexus 6)Boh...
    • vecchiaccio scrive:
      Re: a me no
      Sì, perché la terza (o la quarta) da sola non serve a niente.Mi sembra doveroso patchare tutto però.
  • vecchiaccio scrive:
    Va bene
    Ma intanto io sono già patchato.Baci.
Chiudi i commenti