近日，黑客自媒体浅黑科技报道了关于Samsung Pay被破解盗刷的视频和手法，视频演示中模拟了黑客盗取Samsung Pay的MST支付数据的过程。

(演示视频)

攻击者利用一个信号接收装置(墙上的金属圈)，在一米左右的位置接收受害者手机发出的SamsungPay MST信号，拿到数据后，攻击者可利用该数据在POS机上支付消费，盗用受害者的钱财。

据了解演示来自国际顶尖网络安全团队，腾讯安全玄武实验室，且该攻击手法已被选入了国际顶级黑客大会Blackhat EU，将于12月在欧洲演讲。

然而据移动支付网了解，这已经不是SamsungPay的MST第一次被黑客攻破了。(详情见：Samsung Pay支付安全漏洞深度剖析)

来自美国加利福尼亚州莫德斯托社区学院的Salvador Mendoza针对SamsungPay的安全问题提出了四个可能被攻击的场景：1.通过社会工程学方式骗取用户生成MST磁道信息，并窃取用于盗刷;2.利用侧录设备阻断正常的支付过程，并窃取MST磁道信息用于盗刷;3.反编译出加解密代码;4.猜测下一个MST磁道信息。

这次浅黑科技所演示的SamsungPay破解盗取手段其实和早前的破解有类似之处，也就是上面所述的利用侧录设备阻断正常的支付过程，并获取MST磁道信息用于盗刷。其本质其实是将传统磁条卡盗刷的攻击方式移植到Samsung Pay上，实现攻击效果演示。

众所周知，磁条卡由于容易被复制的先天性安全问题，过去一直是犯罪分子觊觎的目标，侧录、制卡、甚至是改造ATM机等案例层出不穷，因此传统磁条卡的安全问题同样被继承到了Samsung Pay的MST上。不过此次报道的演示视频并非真实的盗刷场景，据移动支付网了解Samsung Pay的MST同样采用了标记化(Token)技术，尽管很多媒体都渲染其“Token化程度有限，可以被预测”，但是目前只是一个假设的可能攻击场景之一，并未被证实。

话虽这么说，但是安全总是相对的，尤其是在安全风险存在的情况下，鉴于目前国内的POS终端升级已经在大力实行，而且芯片卡迁移也做的不错了，所以小编建议还在使用磁条卡从尽早换成芯片卡，尽量使用银行卡的非接功能，Samsung Pay也是如此。

2017第二届移动金融安全大会业内唯一一个聚焦移动金融安全的峰会。

议程详情见大会专栏：http://www.mpaypass.com.cn/MFSC2017/