Salvador Mendoza adlı araştırmacı, teknoloji devinin ödeme uygulamasında bir şifreleme açığı buldu. Bununla ödemeyle ilgili bilgiler çalınarak satın alma yapılabiliyor.
Mendoza’ya göre, Samsung’un ödemelerde kullanılan token’ların (sembol) önemli verileri önemsiz verilerle değiştirmesi esnasında gerçekleştirilen güvenli işlem, o kadar da güvenli değil.
Bu işlem örneğin ödemeyle ilgili bir bilgiyi şifrelemeye yarıyor. Şifre anahtarı ile tüm veriler şifrelenerek iletiliyor, böylece aradaki iletişim (ortadaki taraf ya da Man in the Middle saldırılarında) takip edilebilse bile, bir anlam ifade etmiyor.
Samsung Pay örneğinde, sembolleştirme (tokenization) adı verilen bu süreçte ödeme yapılan kart verileri bilgiler çalınmasın diye rastgele sembollerle değiştiriliyor, ancak bu süreçteki işlemde rastgele sembol seçim işlemi belirli bir limit içerisinde kaldığından, hacker’ların gelecekte yaratılabilecek sembolleri tahmin etmesine sebep oluyor. Bu durum da, kart bilgisine ulaşabilmesini sağlıyor.
Samsung Pay ile ilgili açık bununla da sınırlı değil. Saldırganlar Samsung’un eski manyetik kart destekleyen POS’lardaki ödemeleri de MST teknolojisinin ilettiği kablosuz sinyallerden okuyan bir cihaz geliştirmiş durumdalar. Bu da, yukarıda bahsettiğimiz sembollerin telefona bir uygulama ya da zararlı yazılım kurmadan kolayca okunabilmesini sağlıyor.
Samsung henüz konuyla ilgili bir açıklama yapmadı. Henüz ülkemizde kullanılmayan Samsung Pay adlı mobil ödeme ve mobil cüzdan uygulaması, anlaşıldığı kadarıyla güvenlik açısından son hâle gelmiş değil. Buna benzer ödeme sistemlerinde de benzer güvenlik sorunları yaşanıyor, ancak bunların kısa sürede çözülmesi işten değil.
