Samsung Pay: prima analisi della sicurezza

Samsung Pay sarà disponibile questa estate in Corea del Sud e negli Stati Uniti. La compagnia non ha dato molti dettagli, ma cerchiamo di dare qualche anticipazione sulla sicurezza della piattaforma.

samsung-pay

In occasione del Mobile World Congress di Barcellona a inizio mese Samsung, il gigante degli smartphone Android, ha annunciato la sua nuova piattaforma di pagamenti mobile Samsung Pay.  Il nome richiama chiaramente Apple Pay, la maggiore concorrenza di Samsung in questo settore. Tuttavia, Samsung Pay ha qualcosa in più rispetto ad Apple Pay: la tecnologia MST (Magnetic Secure Transmission).

La tecnologia MST  è stata sviluppata dalla compagnia LoopPay; a metà febbraio, senza fare troppo rumore, Samsung ha acquisito questa azienda. Se Apple Pay è ristretta a quei negozi che utilizzano i terminali POS con tecnologia NFC, con la tecnologia MST Samsung Pay può interagire con qualsiasi terminale esistente. I lettori di tessere magnetiche sono praticamente la maggioranza tra i sistemi di pagamento, soprattutto negli Stati Uniti dove i chip e lo standard EMV non sono ancora così diffusi. Si pensa che Samsung Pay sarà compatibile anche con la tecnologia NFC, ma per il momento la compagnia non si sbottona.

A noi di Kaspersky Daily non interessa poi tanto lo spirito di competizione tra Apple e Samsung; invece, sì che ci interessano le diverse funzionalità di sicurezza che possano emergere da un nuovo sistema di pagamento. Non ci sono molte notizie riguardo la sicurezza della tecnologia MST o circa il funzionamento in generale di Samsung Pay; perciò abbiamo dato un’occhiata a LoopPay per capire qualcosa di più circa questa tecnologia che verrà implementata su Samsung Pay.

Innanzitutto, MST funziona con corrente alternata che passa in un loop induttivo; questi genera una campo magnetico dinamico che cambia dopo un certo intervallo di tempo stabilito dall’utente. I lettori di tessere magnetiche (quelle dove passiamo le nostre carte di credico e di debito) riconoscono il campo magnetico quando il dispositivo si trova a una distanza di 7-8 cm dal lettore.

In una carta di credito o di debito tradizionale, il campo magnetico contiene le informazioni di pagamento. Il campo magnetico esiste solo se l’utente decide di trasmetterlo e il campo si dissolve rapidamente superato il raggio di 7-8 cm; ciò vuol dire che un ladro si dovrebbe trovare nelle immediatissime vicinanze per rubare i dati durante la procedura di pagamento. Non è chiaro in che modo o se questa tecnologia costituisca un miglioramento nel modello tradizionale di pagamento. Ma tutto fa supporre che non lo sia.

All’interno dell’applicazione LoopPay, gli utenti possono scegliere se il proprio dispositivo debba emettere il campo magnetico nelle seguenti forme: sempre, mai, per dieci minuti, per otto ore o per un periodo di tempo determinato. Con LoopPay c’è un componente hardware con relativo tasto che serve per la trasmissione dei dati di pagamento. In questo modo gli utenti devono impostare il dispositivo per trasmettere le informazioni di pagamento durante un certo periodo di tempo e poi schiacciare fisicamente un pulsante per attivare l’operazione.

Per quanto riguarda Samsung, sembra che l’hardware e il tasto di trasmissione per MST saranno presenti di default nei dispositivi che supportano Samsung Pay. Abbiamo contattato Samsung per avere conferma, ma la compagnia non sembra voler dare ulteriori dettagli su come sarà questo nuovo sistema di pagamento.

In ogni caso, durante una conferenza stampa, Samsung ha spiegato che gli utenti dovranno solo scorrere con il dito sullo schermo per avviare l’applicazione Samsung Pay. Poi si potrà scegliere la forma di pagamento tra le carte di credito salvate nel portafoglio di Samsung Pay e si dovrà autorizzare il pagamento mediante lo scanner dell’impronta digitale. Per quanto riguarda la sicurezza, l’aspetto più interessante è che, durante la conferenza stamp,a si è accennato all’uso del sottosistema operativo Samsung Knox per salvaguardare gli acquisti degli utenti.

Se Samsung non sarà in grado di aggiungere a Samsung Pay  la possibilità di leggere carte con codice PIN o chip, porteranno avanti un sistema non sicuro e fuori dal tempo.

Non sappiamo quali conseguenze il progressivo uso di tecnologie più sicure come chip e codici PIN possa avere su una tecnologia che si basa sui lettori di carte magnetiche. LoopPay ha dedicato una sezione intera delle FAQ a qualsiasi dubbio relativo allo standard EMV. L’azienda è dell’idea che MST sia un sistema sicuro tanto quanto i chip e i codici PIN. Vedremo se Samsung ha progetti diversi, soprattutto considerando che entro la fine del 2015 negli Stati Uniti si potrebbe passare completamente a carte con chip e codici PIN.

Se Samsung non sarà in grado di aggiungere a Samsung Pay  la possibilità di leggere carte con codice PIN o chip, porteranno avanti un sistema non sicuro e fuori dal tempo. LoopPay scommette sul fatto che i lettori di tessere magnetiche resteranno in circolazione ancora per un bel po’ di tempo e non c’è modo di sapere entro quanto tempo si adotteranno gli altri sistemi negli Stati Uniti o se ferrà fuori un nuovo sistema in grado di sbaragliare tutti gli altri.

La preoccupazione principale riguarda l’implementazione. In qualsiasi tecnologia (dal sistema operativo  ai termostati connessi a Internet) è inevitabile che ci siano dei bug. Nel frattempo ci tocca aspettare la release ufficiale in Corea del Sud e negli Stati Uniti questa estate; quando Samsung Pay sarà sul mercato, i ricercatori che si occupano di sicurezza andranno alla ricerca dei bug e non saremo qui a parlarvene.

Vale anche la pena sottolineare che la  sua presenza sulla piattaforma Android, con la sua fetta di mercato del 76,6% (target principale dei cybercriminali) , fa sì che Samsung Pay diventi più allettante agli occhi degli scammer rispetto ad Apple Pay, piattaforma che ha visto nell’ultimo mese la messa in atto di truffe ma non di alto livello.

Consigli
Iscriviti per ricevere le nostre notizie via e-mail
  • Tutti gli altri paesi