ซัมซุงเพย์ (samsung pay) เวิร์กไหมและมันปลอดภัยจริงหรือ???

เห็นฝ่ายการตลาดโปรยจั่วหัวเปิดตัวซะอลังว่า "นวัตกรรมนี้ทำให้ประเทศไทยเข้าสู่ระบบไร้เงินสด" แต่ขอโทษที สงสัยจริงๆว่ามันจะไม่เหมารวมไปหน่อยเหรอ จะเห็นได้ว่าตัวระบบดันจำกัดผูกขาดเสียเองด้วยการใช้ได้แค่ระบบแอนดรอยด์ (ทั้งที่ target group ส่วนใหญ่เขาก็ใช้ apple กัน) แล้วถ้าศึกษาสักหน่อยก็จะพบว่า iOS เองก็มีแอร์เพย์ไว้จ่ายตังค์เหมือนกัน ซึ่งเป็นกรณีศึกษาให้เห็นอยู่แล้วว่าสังคมไทยยังไงก็หนีไม่พ้นเงินสดอยู่ดี เนื่องจากการจับจ่ายใช้สอยผ่านระบบ cashless นี้ ก็มีแต่เฉพาะห้างระดับที่คนทั่วๆไปเขา

ตามหลักจิตวิทยา ถ้าจะให้ใครเปลี่ยนวิถีดำเนินชีวิต ถ้าหากคนมันเกิดความรู้สึกยุ่งยาก เช่น ต้องมานั่งกรอกนั่นนู้นนี่ แถมยังห่วงเรื่องความปลอดภัยที่เกิดขึ้นในสาระบบอินเทอร์เน็ตได้ทุกวัน ขโมยขโจรโทรศัพท์บ้านเราก็พร้อมจะฉกชิงได้ทุกเมื่อแม้แต่นั่งรอรถเมล์ หรือเดินไปเซเว่น ฯลฯ มันก็ทำให้คนไม่อยาก change

และก็อย่างที่เห็น . . . สุดท้ายแล้วก็ยังไม่คิดว่าจะมีใครใช้ หรือมันดึงดูดใจให้เข้าสู่อารยธรรม cashless ของซัมซุงนี้อยู่ดี

ยิ่งไปกว่านั้น Samsung Pay ระบบจ่ายเงินในสมาร์ทโฟนของซัมซุงที่ทำงานอยู่บนพื้นฐานของระบบแม่เหล็กเหมือนกับบัตรเครดิต ถูกพบช่องโหว่ที่ทำให้แฮกเกอร์สามารถขโมยข้อมูลในบัตรไปใช้ได้อย่างง่ายดาย

คลิกเพื่อดูคลิปวิดีโอ
หลักการทำงานของ Samsung Pay คือ แปลงข้อมูลของบัตรเครดิตให้อยู่ในรูปแบบ Tokens ทำให้แฮกเกอร์ไม่สามารถล่วงรู้หมายเลขบัตรเครดิตที่เก็บไว้ในสมาร์ทโฟนได้ ปัญหา คือ เหมือน Tokens ดังกล่าวจะไม่ปลอดภัยอย่างที่คิดเอาไว้

Salvador Mendoza นักวิจัยด้านความปลอดภัย ได้พบว่ารูปแบบการสร้าง Token นั้นมีจำกัด และสามารถคาดเดาลำดับการสร้างได้ไม่ยาก โดยเขาอธิบายว่าระบบการสร้าง Token จะมีความเข้มงวดลดลงหลงจากที่สร้าง Token ในครั้งแรก หมายความว่า เราจะคาดเดารูปแบบการถอดรหัสของ Token ได้ง่ายขึ้นในการสร้างครั้งถัดไป

Token ที่ถูกคาดเดารูปแบบได้แล้ว สามารถนำไปใช้ในฮาร์ดแวร์เครื่องอื่นสำหรับปลอมแปลงการทำธุรกรรม เหมือนกับการทำ Skimming บัตรเครดิต ที่มักเป็นข่าวอยู่บ่อยๆ นั่นเอง

Mendoza ยังบอกอีกว่า เขาได้ส่ง Token ไปหาเพื่อนของเขาใน Mexico และเพื่อนของเขาสามารถใช้ เครื่อง Magnetic spoofing hardware ในการชำระค่าสินค้าได้ทันที แม้ว่า Samsung pay จะยังไม่มีให้บริการในประเทศ Mexico ก็ตาม

ลองดูวิดีโอที่เขาสาธิตให้ดูกันใน YouTube ด้านล่างนี้ครับ เป็นภาษาสเปน แต่ว่ามีซับไตเติ้ลภาษาอังกฤษ

คำถามที่สำคัญที่สุด แล้วเขาจะขโมย Token ได้อย่างไร? Mendoza ตอบว่ามันง่ายอย่างน่าเหลือเชื่อ

Mendoza ได้สร้างเครื่องดักจับสัญญาณแม่เหล็กขนาดเล็กซ่อนไว้ในแขนของเขา หรือที่เรียกกันว่า MST (Magnetic secure transmission) จากนั้นเขาก็แค่หยิบสมาร์ทโฟนของใครสักคนขึ้นมา กดส่ง Token ไปยัง Inbox ผ่านอีเมลล์ จากนั้นเขาสามารถถอดรหัสไปใช้กับสมาร์ทโฟนเครื่องอื่นได้เลย

Mendoza ยังบอกอีกว่า มันใช้ได้ผลกับบัตรเครดิตทุกใบ ไม่ว่าจะเป็นธนาคารไหนก็ตาม แต่ว่ามันใช้ไม่ได้ผลกับ Gift Cards เพราะ Samsung Pay จะแสดงเป็นบาร์โค้ดบนหน้าจอ แทนที่จะส่งสัญญาณ

คำตอบที่ได้รับเลือกจากเจ้าของกระทู้
ความคิดเห็นที่ 4
ปลอดภัย แต่ไม่เวิร์ค
ไม่เวิร์ค เพราะร้านค้ารำคาญที่จะชำระผ่านมือถือ

คือเวลาผมจ่าย ถ้าเป็นให้บัตรเครดิต ร้านค้าทำได้คล่องเร็ว,
แต่เวลาจ่ายด้วยมือถือ คือช้าเลย หลายร้านไม่รู้ทำไง เรียกซุปมาดู เรายื่นมือถือให้ก็ไม่สะดวก
ไม่เกิดครับ เพราะจุดชำระยังไม่สะดวกเท่ายื่นบัตรเครดิต

ถ้าอยากให้สะดวก ทุกที่ต้องมีเหมือน mpos แบบ paywave คือเป็นแท่นวางที่เค้าเตอร์
แล้วลูกค้าเอามือถือไปจ่อเอง แบบนี้เกิดได้ สะดวกด้วย

แต่ถ้าแบบว่า ต้องส่งมือถือให้พนักงาน พนักงานก็กลัวว่าจะทำมือถือลูกค้าตกแตก
ท้ายที่สุด บัตรเครดิต ก็ win ไปครับ

ปล. ว่าๆ paywave สะดวกแล้วนะ (อย่างเช่นที่ bigc) ก็ยังดับไป คนใช้ถึง 5% หรือเปล่ายังไม่รู้เลย
แสดงความคิดเห็น
โปรดศึกษาและยอมรับนโยบายข้อมูลส่วนบุคคลก่อนเริ่มใช้งาน อ่านเพิ่มเติมได้ที่นี่