Analisando a segurança do Samsung Pay

No Mobile World Congress, que aconteceu em Barcelona no iníco desse mês, a Samsung lançou sua plataforma de pagamento móvel: Samsung Pay. O nome gerou comparações com o Apple Pay,

No Mobile World Congress, que aconteceu em Barcelona no iníco desse mês, a Samsung lançou sua plataforma de pagamento móvel: Samsung Pay. O nome gerou comparações com o Apple Pay, a plataforma de pagamento móvel da maior concorrente da Samsung. De qualquer forma, o Samsung Pay tem uma característica interessante que o Apple Pay não tem: Transmissão Magnética Segura (MST – sigla em inglês).

 

Na realidade, a tecnologia MST foi desenvolvida pela LoopPay, empresa comprada pela Samsung em meados de Fevereiro. Enquanto o uso do Apple Pay é limitado para aqueles comerciantes que utilizam a tecnologia NFC (sigla em inglês) nos seus pontos de venda, a inclusão da MST no Samsung Pay faz com que seu funcionamento seja compatível com o sistema de leitor magnético dos pontos de venda. É certo que a grande maioria dos locais comerciais contam com leitores magnéticos, sobretudo nos Estados Unidos. Especialistas afirmam que Samsung Pay também terá a tecnologia NFC, mas a companhia ainda não se pronunciou sobre isso.

Não estamos particularmente interessados em meter-nos no eterna richa Apple vs. Samsung aqui no blog da Kaspersky, mas sempre estamos interessados em analizar as plataformas de pagamento do ponto de vista da segurança. Como não existem muitas pesquisas disponíveis sobre a segurança do MST ou sobre o funcionamento do Samsung Pay em geral, averiguamos com a LoopPay o que a companhia tinha a dizer sobre sua tecnologia.


De início, MST funciona gerando uma corrente alternada através de um loop indutivo, assim gerando um campo magnético dinâmico que muda ao longo de um período de tempo especificado pelo usuário. Leitores de cartão magnético –  como esses que você desliza seu cartão de débito ou crédito – vão reconhecer esse campo magnético se seu aparelho estiver a mais ou menos 10 centímetros de leitor. Esse campo magnético contém informações sobre seu pagamento e existe somente enquanto o usuário escolhe transmiti-lo e se dissipa rapidamente passados os 10cm. Isso  significa que um ataque teria que ser feito por alguém incrivelmente perto de você durante o processo de pagamento. Ainda não está claro se essa tecnologia oferece algum protocolo de  segurança além do já existente no pagamento a cartão tradicional. Mas é seguro presumir que não tem. No aplicativo LoopPay os usuários podem selecionar se eles querem que seus aparelhos emitam esse campo magnético todo o tempo, nunca, por alguns minutos, oito horas ou algum outro período de tempo. Parece que junto com o LoopPay há uma parte do hardware com um botão de transmissão de dados do pagamento. Assim, os usuários terão que configurar seus dispositivos para transmitir dados de pagamento por um certo tempo e então pressionar o botão para fazer o serviço funcionar. Os meios especializados afirmam que o botão de ativação do campo magnético e a tecnologia MST são todos construidos para aparelhos que incluem o Samsung Pay. Buscamos a Samsung para confirmar isso, mas a companhia não diz muito sobre a plataforma de pagamento que está por vir.

Entretanto, num release para impressa, a Samsung explicou que para usar o aplicativo somente será necessário deslizar o dedo no topo da tela. Depois, eles poderão escolher o método de pagamento entre cartões que já estejam armazenados na carteira do Samsung Pay e autenticar pagamentos com o scaner. No que diz respeito a segurança, a empresa mencionou superficialmente como Samsung Pay pensa em reforçar a segurança gracas a incorpoação do sistema sub-operativo Knox.

Segue incerta como a integração das tecnologias mais seguras de Chip e PIN vão impactar o remanejamento de uma tecnologia que depende de leitores magnéticos. LoopPay tem uma sessão de FAQ inteiramete dedicada a questões relacionadas à EMV. Para eles, parece que MST é tão seguro como um Chip ou PIN. Será interessante ver se Samsung tem planos diferentes, especialmente considerando o movimento de adotar completamente Chip e PIN até o final de 2015 nos Estados Unidos.

Se Samsung não é capaz de incorporar as tecnologias de Chip e PIN no Samsung Pay, então eles estão forçando um modelo de pagamento inseguro e antiquado. Além disso, LoopPay parece estar apostando que o leitor magnético veio para ficar e não há como saber quão rápido e com que dimensão serão adaptados Chip e PIN nos Estados Unidos ou se outros mecanismos de pagamento vão surgir e interromper o modelo atual. A maior preocupação nessa implementação. Desde sistemas operacionais a termostatos conectados: bugs são inevitáveis. Teremos que esperar o lançamento oficial na Coréia do Sul e nos Estados Unidos esse verão. Uma vez que Samsung Pay estiver no mercado, pesquisadores de segurança e agressores vão caçar bugs e estaremos aqui para relatar isso.

Vale a pena destacar que a plataforma aberta do Android e seus 76% de participação de mercado – são  duas das razões pelas quais Android tem sido um forte alvo de criminosos – pode fazer com que Samsung Pay seja mais visado para ataques que o Apple Pay, que vem sofrendo poucas fraudes esse mês.

Dicas