Här är tekniken som ska göra Samsung Pay säkert

2017-03-10 13:43  
Man kan betala med sina kreditkort via telefonen med Samsung Pay, men kreditkortsinformation lagras inte på enheten. Foto: Samsung

Den kontaktlösa betaltjänsten Samsung Pay har kommit till Sverige. Och på lanseringen följer frågorna om hur säker metoden egentligen är.

Användaren har identifierat sig med sitt fingeravtryck och håller upp telefonen mot kortterminalen. Det är det smidiga och kontaktlösa sättet att betala med Samsung Pay, en tjänst som precis lanserats i Sverige. Men kan användaren lita på att transaktionen genomförs på ett säkert sätt?

Under hackerkonferensen Defcon i fjol demonstrerade en hackare hur Samsung Pay kunde exploateras. Hackaren lyckades använda tjänsten till att betala med en hemmagjord kortläsare. Samsung gick snabbt på defensiven men medgav till slut att ”den potentiella risken är acceptabel med tanke på den extremt låga sannolikheten för en attack”. Det finns alltså en potentiell risk?

– Samsung Pay är väldigt säkert, lovar Thomas Ko, global chef för Samsung Pay, när Ny Teknik träffar honom på företagets kontor i Stockholm.

Till skillnad från konkurrenterna använder Samsung en unik teknik: den får existerande kortläsare att tro att det är magnetremsan på ett fysiskt kreditkort som dras genom terminalen. Det innebär att Samsung Pay kan användas nästan överallt där det finns en kortläsare. Men det innebär inte att själva transaktionen godkänns på samma sätt som med ett vanligt kreditkort.

Faktum är att numret på kreditkortet inte skickas mellan telefonen, handlarens terminal och bankens nätverk. Istället skapas en digital pollett utifrån särskilda algoritmer. Polletten – som består av en alfanumerisk ”identifierare” – kan bara användas vid en transaktion, vid nästa köp genereras en ny pollett. Dessa engångspolletter fungerar som ett surrogat åt det faktiska kreditkortsnumret.

Tillsammans med polletten följer en transaktionsräknare som ska säkerställa att samma transaktionsinformation inte återkommer. Räknaren uppdateras efter varje ny betalning.

Läs mer:

Läs mer: Shoppa med svenska Samsung Pay

Utöver detta skickas också en krypterad nyckel. Hela paketet – pollett, transaktionsräknare och nyckel – bildar ett kryptogram.

– Bankerna har ju velat göra kreditkorten digitala eftersom det göra hela processen säkrare, säger Thomas Ko.

Samsung uppger att de inte lagrar kreditkortsinformation lokalt på mobiltelefonerna. Krypteringsnycklarna genereras på en avgränsad och hårt bevakad del av telefonens systemkrets. Den får i sin tur information från Samsungs säkerhetsplattform Knox och gör utifrån den informationen en bedömning huruvida det är säkert att generera en nyckel.

– Med tanke på att Android är ett öppet ekosystem var vi tvungna att bygga detta skyddsrum, säger Thomas Ko.

Den hackare som exploaterade Samsung Pay i demonstrationssyfte hade en fördel bedragare inte kan räkna med: sin egen Samsung-telefon. Det var via den han lyckades skicka en pollett till den hemmagjorda kortläsaren. Det gick bara efter att han använt sitt eget fingeravtryck – inga Samsung Pay-transaktioner påbörjas före användaren identifierat sig med antingen fingeravtryck eller pinkod.

För att genomföra en skimning i praktiken måste bedragaren först och främst befinna sig i offrets absoluta närhet, vänta på att offret verifierar sin identitet och sedan genomföra köpet före offret själv hinner göra sitt. Om bedragaren väntar blir engångspolletten oanvändbar. Samsung uppger att risken för det är ”extremt liten”.

Peter Ottsjö

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

Här är reglerna för kommentarerna på NyTeknik

  Kommentarer

Aktuellt inom

Debatt

COMSOL