Из-за ошибки в приложении Samsung Pay конфиденциальные данные владельцев мобильных устройств, пользующихся этим платежным сервисом, находятся под угрозой. Как утверждает исследователь из Tencent, известный под псевдонимом HC, ошибка может повлечь утечку цифровых токенов, применяемых для авторизации и выполнения транзакций.
По словам эксперта, хакер, не прошедший авторизацию, может извлекать токены и просматривать переписку пользователей с банками в открытом виде. Если у хакера есть доступ к достаточному объему информации, он может создать еще один токен, посредством которого можно выводить средства с чужих счетов.
Уязвимость присутствует не в самом платежном сервисе, а в клиенте Samsung Pay. По словам HC, ошибка состоит в том, что у непривилегированного пользователя есть возможность заполучить доступ к логам смартфона. Эксперт провел тестовую атаку на Samsung Galaxy S6, но, как утверждает HC, в зоне потенциального риска находятся все модели Samsung Galaxy, пользователи которых работают с платежным сервисом Samsung Pay. Исследователь пытался воспользоваться уязвимостью на других моделях смартфонов, но ему не удалось. Но, по мнению HC, при наличии надлежащих навыков и инструментов, компрометация Samsung Pay вполне возможна.
В Samsung уже знают о данной проблеме. В ходе конференции Black Hat Europe 2017, которая будет проходить в Лондоне 4-7 декабря, HC намерен представить подробный отчет о своем исследовании.
