Die in dem Smartphone hinterlegten Kreditkartendaten werden dabei in Token umgewandelt, die dann zum Lesegerät übertragen werden, anstatt die Kreditkarte direkt in das Lesegerät stecken zu müssen.
Dummerweise fand der Forscher Salvador Mendoza aber heraus, dass sich diese Tokens recht gut vorhersagen lassen.
Das Verfahren zur Erstellung der Tokens zeige sich schwächer, nachdem die Samsung-Pay-App den ersten Token für eine spezifische Kreditkarte erzeugt habe. Deshalb nehme die Wahrscheinlichkeit, künftige Tokens zu erraten mit der Zeit zu.
Angreifer wiederum könnten die Tokens von einem Smartphone stehlen und danach ohne jede Einschränkungen auf einem anderen Gerät einsetzen, erklärte der Forscher weiter.
Zum Test habe er einen eigenen Token an einen Freund in Mexiko geschickt, der dort mit der entsprechenden Hardware seinen Einkauf bezahlt habe – obwohl Samsung Pay in Mexiko ja eigentlich noch gar nicht verfügbar sei.
Dieser Hack funktioniere mit allen gängigen Kreditkarten, Debitkarten und auch mit Prepaidkarten. Gutscheinkarten seien aber nicht anfällig dafür, weil Samsung bei denen einen Barcode erzeuge, der an der Kasse gescannt werde, ergänzte der Forscher noch.