L’expert en question a expliqué que la faille de Samsung Pay se situe dans sa partie gestion des tokens (« jetons ») et il s’avère que l’application ne transmet pas des données bancaires, mais envoie, pour chaque règlement, un « jeton » à usage unique qui autorise une transaction.
Selon cet expert, il est donc possible de capturer un jeton généré par l’application et de le transférer vers un appareil dédié à sa réutilisation. Il démontre cela à travers une vidéo explicative dans laquelle il précise aussi que les jetons ne sont pas créés de manière aléatoire. Avec suffisamment de matériel — de jetons — sous les yeux, il est tout simplement possible de prédire quel sera le prochain token… Et donc, de prendre les devants sur l’utilisateur légitime du compte.
De son coté, l’équipementier Samsung a réagi timidement en déclarant que « Samsung Pay s’appuie sur les fonctions de sécurité les plus avancées » et que si « une vulnérabilité potentielle » devait être repérée, il prendrait promptement des mesures pour « mener l’enquête et résoudre le problème ».
