Onderzoeker onderschept token van Samsung’s contactloze betaalsysteem

Een kwetsbaarheid in Samsung’s contactloze betaalsysteem Samsung Pay maakt het mogelijk tokens te onderscheppen die door het systeem worden aangemaakt. Met behulp van deze tokens kunnen vervolgens frauduleuze transacties worden opgezet.

Dit heeft beveiligingsonderzoeker Salvador Mendoza bekend gemaakt tijdens een presentatie op de Black Hat USA 2016 conferentie in Las Vegas. Samsung schermt creditcardgegevens van mensen die Samsung Pay gebruiken af door gebruik te maken van tokens. Voor iedere transactie die een klant opzet wordt een unieke token gegenereerd. Indien de klant een transactie echter afbreekt blijft de token 24 uur lang bewaard.

Token onderscheppen

Tijdens zijn presentatie demonstreerde Mendoza hoe hij met behulp van een speciaal vervaardigd apparaatje in staat was een token te onderscheppen die is aangemaakt door Samsung Pay. Met behulp van deze token wist Mendoza vervolgens een aankoop te doen in een snoepautomaat.

Samsung erkent het probleem. Het bedrijf stelt echter dat de aanval in de praktijk zeer lastig is uit te voeren, aangezien een token onbruikbaar wordt zodra de aankoop wordt afgerond. Gebruikers lopen dan ook alleen risico indien zij aankopen halverwege afbreken. Mendoza stelt dat cybercriminelen hiervoor gebruik kunnen maken van social engineering. Zo zou een aanvaller een nietsvermoedend slachtoffer bijvoorbeeld kunnen vragen te laten zien hoe het apparaat werkt. Ook zouden aanvallers een valse snoepautomaat kunnen plaatsen in een winkelcentrum of winkel, waarbij transacties automatisch worden geannuleerd.

‘Tokens worden volgens vast patroon gegenereerd’

Daarnaast stelt Mendoza dat Samsung Pay tokens volgens een vast patroon genereert. Wie hierdoor één token van een slachtoffer in handen heeft, kan op basis van deze token toekomstige token raden en op een andere locatie genereren. Samsung ontkent dit overigens en stelt dat het door Mendoza besproken algoritme niet door Samsung Pay wordt gebruikt.