图:三星在IFA 2015上演示的Samsung Pay
三星子公司LoopPay的安全漏洞可能已经被间谍用来收集消费者信息从而获利,一个安全分析师在周三这样说道。
三星已经承认LoopPay受到了攻击,这家公司在二月被三星收购,他们的技术被Samsung Pay 使用。三星说黑客攻破了LoopPay的办公室网络,并不是Samsung Pay所使用的系统。根据三星的说法,现在受影响的服务器已经被隔离,并没有危及个人信息。
但是,根据纽约时报的报道,军用软件公司TripWire的高级安全分析师Ken Westin说,这次攻击可能并不是为了窃取消费者数据进行出售。
黑客可能是想要访问LoopPay的代码,通过这些收集个人信息,Westin说道。
咨询公司Hold Security的首席执行官Alex Holden赞同了这一观点。他认为攻击者是为了想知道“谁买了什么”。例如,一个重要人物在洛杉矶买了一杯咖啡,渗透攻击者可能了解到那个人正在进行个人旅行。
虽然LoopPay可能已经解决掉了这个漏洞,但仍可能继续受到安全研究者所说的APT攻击。攻击者可能会不断回来探索公司基础设施的不同部分寻找漏洞,为后续的渗透打基础。三星应当考虑到这种情况,Westin说道。
然而,不应该因为这次攻击事件就阻止消费者使用Samsung Pay。
Westin 说,“我会小心谨慎,你们也应该提供新型支付服务,但这并不是让我不使用新型服务的理由。”
LoopPay的网络在二月份就已经被攻破,就在三星用2.5亿美元买下它之前不久,根据纽约时报报道,黑客在LoopPay的网络中潜伏了5个月之久,直到8月下旬,对另一个组织进行追踪时才发现了LoopPay的数据。
Westin说,这显示了可能有较强的入侵预防工具,但却很弱的检测能力。黑客可能根本不在攻破的公司系统中使用会被识别出的恶意软件,而只利用系统组件,例如Windows的Powershell。“对于很多企业而言,这是一个巨大的挑战”,他说道。
Samsung Pay是新型支付平台,无线移动设备可以用它到接入系统的销售点买东西。类似于Apple Pay,它的设计比传统信用卡更安全,因为每次付款不会使用相同的卡号。根据三星的说法,系统会使用加密的令牌和证书信息,并且它在使用后即失效。
三星收购LoopPay是为了一项技术的发展,磁性安全传输(Magnetic Secure Transmissio),让移动设备模拟磁条卡。这项技术会帮助Samsung Pay使用旧的支付系统。