삼성페이 보안 - 다른 연구 Samsung Pay Security - other research 핀테크

삼성페이 보안 이슈를 다룬 논문이 미국 텍사스에서 열린 USENIX WOOT 컨퍼런스에서 발표되었다.
A research paper related to Samsung Pay security issues was published in the USENIX WOOT'16 that was held in Texas, USA.
https://www.usenix.org/conference/woot16/workshop-program/presentation/choi

삼성페이는 2미터 거리에서 도청이 가능하다
A Samsung Pay token can be eavesdropped in two meters away.

아래같은 간단한 도구면 된다.
It just needs a simple set of devices below.

다음 처럼 쉽게 위장할 수도 있다.
And they can be easily disguised.

아래 동영상은 1.8 미터에서 도청하는 영상, 원타임 토큰(카드번호)가 잡히는게 보인다.
Below video shows an one time token ( credit card number ) is being eavesdropped by the above set of devices that is 1.8m away from the original Samsung device. We can check the eavesdropped one-time token.



도청한 토큰은 2가지 방식으로 악용될 수 있다.
The snipped token can be exploited in 2 ways.

1. 다른 곳에서 결제 한다.  The attacker pays with the sniffed token in other places.

아래 그림처럼 다른 곳에서 토큰을 사용한다. 인터넷을 통하므로 멀리 다른 나라로 보낼 수도 있다.
Below picture shows this attack. The sniffed token can be transferred to another country via the Internet.


다음은 그런 형태의 공격 시나리오 비디오이다.
Below video shows an example of executing such a type of the attack.

토큰은 1회용이므로, 원래 사용자가 토큰을 사용해 결제한 후에는 공격자가 훔친 토큰을 써서 결제를 할 수 없다.
As the token is one time, the attacker's payment with the sniffed token will not succeed if the victim makes a payment with the token earlier than the attacker does.

따라서 공격자는 a)원 사용자가 결제하지 못하게 막거나, b)원 사용자 보다 먼저 결제해야 한다.
Therefore, the attacker should  a) block the victim's payment or b) make a payment before the victim does.

위 동영상은 원 사용자 보다 먼저 결제하는 흐름이다. (b)
In the above video, the attacker completes a payment before the victim.  (b)

원사용자의 결제를 하려면, 서명을 하고 계산원이 pos에서 엔터를 눌러야 한다.
https://brunch.co.kr/@thebetterday/389 에 따르면 계산원의 숙련도에 따라  이 시간이 10초까지 걸릴 수 있다고 한다.
공격자 쪽의 계산원이 더 빨리 계산하면, 공격이 성공한다. 

To make a payment, the original payer should sign on the sign pad and the cashier should press enter button in POS.
https://brunch.co.kr/@thebetterday/389 says that it takes about 10 seconds. This time is variable depending on the cashier.
If the attacker's cashier is faster than victim's cashier, the attack will succeed.

원결제자의 결제를 막는 방법(a)은 여러가지가 있지만 MST jamming이 그 중 하나의 방법이 될 수 있다.
There are many ways to block victim's payment (a). MST jamming is one of them.

공격자가 결제할 때 삼성페이 폰 처럼 보이는 것이 어렵다는 지적이 있다. 
There was a concern that the attacker's device can be easily caught because it does not look like the original Samsung Pay device.  
다음 도구를 사용해서 여러번 실험을 했지만 의심받은 적은 없었다. 
We have performed field experiments many times. However, nobody made a suspicion on our attack device, shown below:



2. 공격자의 pos에서 결제하는 방법 Making a payment using attacker's POS


공격자가 pos를 갖고 있다면 도청을 하자마자 자신의 pos에서 바로 결제할 수 있다.
The attacker makes a payment on his own pos immediately after he sniffed the token.

이 방법은 원사용자의 결제보다 거의 언제나 더 빠르게 결제를 할 수 있다.
With his own pos, the attacker can make the payment almost always earlier than victim.

아래 비디오는 이러한 공격 흐름을 보여준다.
This video shows such an attack.




공격자가 자신의 pos에서 결제 하면 쉽게 체포할 수 있다고 ?
Can police easily arrest such an attacker? 

다음 그림은 러시아의 소매치기다. 그는 자신의 모바일 pos를 이용해 nfc 카드를 도용한다.
Let's look the below picture, a Russian pocket picker holds his own mobile pos to theft victim's nfc card.


핑백

덧글

  • Heb614 2016/08/12 14:47 # 답글

    이런식이라면 애플 페이도 위험하긴 마찮가지 일듯!
    디지털 시대엔 뭐하나 안전한게 없는듯 합니다
  • 청염 2016/08/12 20:04 # 삭제

    이건 ApplyPay 방식에는 적용 안됩니다.
    이 부분의 취약점은 NFC를 사용하지 않고 신용카드의 마그네틱 신호를 모사하는 삼성페이의 특성에서 발생하는 문제에요. 마그네틱 신호 모사과정을 포착해서 일회성 토큰을 중간에 가로채는 방식 같습니다.

    되도록이면 NFC만으로 결제하는 방식으로 가야할텐데요.
  • Heb614 2016/08/12 20:17 #

    마그네틱이 문제 였군요!
  • 갑을병 2016/08/12 15:15 # 답글

    멋져요 박사님 ㅋㅋㅋ
  • 동사서독 2016/08/12 20:06 # 답글

    미션임파서블 영화가 떠오르네요.
  • MEMBERST 2016/08/13 14:17 # 삭제 답글

    삼성에서는 예상하던 시나리오라고 하더군요 그래서
    카드사들이 토큰 갱신 시간에 따른 보험을 미리 계약한 상태라고
  • MEMBERST 2016/08/13 14:17 # 삭제 답글

    삼성에서는 예상하던 시나리오라고 하더군요 그래서
    카드사들이 토큰 갱신 시간에 따른 보험을 미리 계약한 상태라고
  • MEMBERST 2016/08/13 14:17 # 삭제 답글

    삼성에서는 예상하던 시나리오라고 하더군요 그래서
    카드사들이 토큰 갱신 시간에 따른 보험을 미리 계약한 상태라고
  • MEMBERST 2016/08/13 14:17 # 삭제 답글

    삼성에서는 예상하던 시나리오라고 하더군요 그래서
    카드사들이 토큰 갱신 시간에 따른 보험을 미리 계약한 상태라고
  • MEMBERST 2016/08/13 14:17 # 삭제 답글

    삼성에서는 예상하던 시나리오라고 하더군요 그래서
    카드사들이 토큰 갱신 시간에 따른 보험을 미리 계약한 상태라고
  • MEMBERST 2016/08/13 14:17 # 삭제 답글

    삼성에서는 예상하던 시나리오라고 하더군요 그래서
    카드사들이 토큰 갱신 시간에 따른 보험을 미리 계약한 상태라고
댓글 입력 영역