在本周的拉斯維加斯黑帽大會上，網絡安全研究人員薩爾瓦多?門多薩（Salvador Mendoza）指出，三星電子移動支付功能Samsung Pay的安全存在局限性。如果黑客發現了這一漏洞，可以通過另一部手機完成欺詐性付款。

Samsung Pay曝存安全隱患

Samsung Pay是基于磁性的非接觸支付系統，它已在一些最新款的三星電子智能手機中成為標準功能之一。通過把信用卡數據轉換為標記，Samsung Pay讓黑客無法從用戶的設備中獲取到信用卡卡號。

不過這些標記并沒有想象中的安全。門多薩的研究結果顯示，Samsung Pay的標記化過程極為有限，且可以預測標記的序列。先于8月4日黑帽大會的主題演講之前，門多薩在電子郵件中曾解釋稱，在Samsung Pay從特定的一張信用卡上產生第一個標記之后，其標記化進程就開始變弱。這也就意味著黑客有機會來預測未來的標記。

黑客可以盜用Samsung Pay產生的標記，然后用它在其它設備中不受限制的進行欺詐交易。門多薩稱，攻擊者可以從Samsung Pay設備中盜取標記，然后不受限制的使用它。他說，他曾向自己的一位墨西哥好友發送了一個符號，即便是Samsung Pay目前還沒有進入墨西哥市場，這位好友仍能夠使用它在磁性欺騙硬件上購買商品。

關于如何盜取符號的問題，門多薩稱其實過程相當的簡單。門多薩開發的這臺設備捆綁在自己的前臂，當他拿起別人的手機時，這臺設備就能夠通過無線方式盜取磁性安全傳輸，然后會把盜取的標記通過電子郵件形式發送到他的個人郵箱。然后，門多薩就可以把這個標記編輯到另一部手機。