จนถึงตอนนี้หลายๆคนที่ใช้ Samsung Galaxy น่าจะรู้จักเจ้า Samsung Pay บริการที่ทำให้เราไม่ต้องพกบัตรเครดิตอีกต่อไป แค่ยื่นมือถือแตะกับเครื่องรูดบัตรก็จ่ายได้เลยทันที และเราก็ได้มีเขียนบทความว่าด้วยเรื่องนี้แบบละเอียดๆไปแล้ว แต่ว่าเรื่องนึงที่เราอาจจะยังไม่ได้ลงลึกมากคือเรื่องความปลอดภัย ซึ่งวันนี้เราจะขอเอามาเล่าให้ฟังกันเพิ่มเติมว่า Samsung Pay นี่มันปลอดภัยแค่ไหน? มีวิธีไหนที่จะแฮกมันได้รึเปล่า?

สำหรับคนที่ยังไม่รู้จัก Samsung Pay เท่าไหร่ ขอแนะนำให้กลับไปอ่านรายละเอียดเพิ่มเติมได้ที่ ทำความรู้จัก Samsung Pay บริการที่จะทำให้เราไม่ต้องพกบัตรเครดิตให้ตุงกระเป๋าอีกต่อไป และ 7 ข้อควรรู้ก่อนใช้ Samsung Pay ก่อนนะครับ ปัจจุบันมีการจำกัดธนาคารและรุ่นโทรศัพท์ที่ใช้งานได้อยู่

 

ความปลอดภัยของ Samsung Pay

เป็นเรื่องที่คนสอบถามกันมากที่สุดเมื่ออธิบายบริการนี้ให้ใครฟังว่ามันน่าเชื่อถือแค่ไหนในการใช้งาน Samsung Pay นี้ มีความรัดกุมในการตรวจสอบข้อมูลเพียงใด มีสิทธิ์จะโดนปลอมแปลงได้รึเปล่า ดังนั้นก่อนอื่นเรามาทำความเข้าใจกันก่อนดีกว่าว่า Samsung Pay มีกระบวนการอย่างไรในการปกป้องข้อมูลของเราครับ ซึ่งหลังจากพยายามหาข้อมูลมาทั้งหมดแล้ว ผมก็ขอนำเอามันมาแสดงเป็น infographic ให้ดูง่ายๆดังนี้ครับ

ขั้นตอนการลงทะเบียนบัตรเพื่อใช้งาน

  1. ผู้ใช้งาน Samsung Galaxy ถ่ายรูปและกรอกข้อมูลบัตร พร้อมยืนยันตัวตน

  2. ส่งข้อมูลบัตรเหล่านั้นไปที่ Samsung Pay

  3. Samsung Pay ส่งต่อไปให้ที่ VISA / Mastercard เพื่อแปลงข้อมูลบัตรให้เป็น Token

  4. จ่าย Token กลับไปพร้อม Key สำหรับการเข้า-ถอดรหัส ไปยัง Samsung Pay

  5. Samsung Pay ส่งต่อ Key และ Token ไปให้ผู้ใช้งาน เก็บเอาไว้ในเครื่อง

  6. (ID&V) เป็นการยืนยันตัวตนกับทางธนาคารผู้ออกบัตรเครดิตใบนี้ให้กับเรา

ถ้าดูตามกราฟิกด้านบนนี้จะเห็นว่า Samsung Pay จะส่งข้อมูลบัตรของเราไปทำการแปลงให้กลายเป็น Token หรือชุดข้อมูลเสมือนที่ถูกเข้ารหัสโดยการสุ่มเพื่อใช้แทนเลขและข้อมูลอื่นๆบนบัตรเครดิต ซึ่งการทำแบบนี้จะสร้างความปลอดภัยขึ้นมาชั้นแรกก่อน คือ ทำให้ข้อมูลที่ใช้บน Samsung Pay นี้จะเป็นเหมือนบัตรอีกใบที่จำลองขึ้นมา ข้อมูลต่างๆจะแยกจากกันบัตรหลักทันที คนทั่วไปไม่สามารถรู้ได้ว่าบัตรใบนี้ถูกสร้างขึ้นมาจากบัตรใบไหน มีเลข CCV วันหมดอายุอะไร พนักงานที่ร้านจะจดเลขบัตรหรือข้อมูลอะไรไป ก็เอาไปใช้ก็ไม่ได้อยู่ดี แต่ว่าตัวเราเองที่มีกุญแจอยู่นั้นจะยังสามารถติดตามได้ว่าใช้งานอะไรไปบ้าง หรือถ้าบัตรนี้มันเกิดหายหรือมีปัญหาอะไรเมื่อไหร่ก็ปิดทิ้งได้โดยไม่มีผลกระทบอะไรกับบัตรหลัก เพราะมันเป็นข้อมูลที่ถูกจำลองขึ้นมาเท่านั้นนั่นเองครับ กล่าวโดยสรุปคือใช้ Samsung Pay บัตรเครดิตของเราจะปลอดภัย เพราะข้อมูลสำคัญบนบัตรไม่ได้ถูกเก็บเอาไว้ในเครื่องเลยนั่นเอง

 

กระบวนการที่เกิดขึ้นระหว่างการใช้งาน

  1. ยืนยันตัวตนโดยใช้ ลายนิ้วมือหรือ PIN เพื่อชำระเงิน เครื่องจะส่ง Token และ Cryptogram ไปให้ EDC (เครื่องรูด)

  2. POS ส่งข้อมูลต่อไปยังธนาคารผู้ออกเครื่อง EDC นั้น

  3. ธนาคารที่เป็นเจ้าของเครื่องส่งต่อข้อมูลไปยังเครือข่ายบัตรเครดิต

  4. ถอดรหัสข้อมูลผ่านเครือข่าย

  5. ส่งข้อมูลที่ถอดรหัสแล้วกลับมา

  6. ส่งต่อข้อมูลไปยังธนาคารเพื่อตรวจสอบข้อมูล เช่น วงเงินยังมีเหลือมั้ย ใช้จ่ายไปเท่าไหร่ เวลาใด ที่ไหน ฯลฯ และบันทึกข้อมูลทั้งหมด จากนั้นก็ส่งข้อมูลย้อนทางกลับไปยังส่วนต่างๆจนถึงมือถือเรา

ตามกราฟิกนี้ จะเห็นว่าการส่งข้อมูลจากโทรศัพท์ของเราออกไปนั้นจะไม่มีข้อมูลที่เกี่ยวกับบัตรอยู่เลย แต่เป็นการส่ง Token ที่เราได้รับจากเมื่อตอนลงทะเบียนบัตรออกไปแทน ตรงนี้เองถ้ามีคนร้ายมาดักข้อมูลระหว่างทางก่อนที่จะไปถึงเครือข่ายบัตรเครดิตได้ ก็จะไม่ได้ข้อมูลอะไรไปเลยเพราะถูกเข้ารหัสเอาไว้อย่างแน่นหนานั่นเอง

แต่จากทั้งหมดที่ได้กล่าวไปนั้น ก็ยังมีคนสงสัยว่าแม้ระบบของ VISA / Master จะแข็งแกร่งเพียงใด แต่จากข่าวที่เคยได้ยินว่าตัว Android หรือ Samsung Galaxy เองมีจุดอ่อนให้คนเจาะเข้ามาดูดข้อมูลไปได้ แล้วมันจะไปปลอดภัยได้ยังไง? โดน root เครื่องก็สามารถเจาะเข้าไปดูข้อมูลได้แล้วหรือเปล่า? ซึ่งตรงนี้เองทาง Samsung ก็ได้มีการทำระบบป้องกันเพิ่มเติมขึ้นมาอีกชั้น เป็นพระเอกช่วยปกป้องระบบ ไม่ให้ถูกเจาะได้อย่างง่ายดายเหมือน Android เครื่องอื่นๆ นั่นก็คือ Samsung Knox

 

Samsung Knox ทำหน้าเป็นเหมือนกล่องเก็บข้อมูลนิรภัย อะไรที่เก็บอยู่ในนี้จะถูกปกป้องเข้ารหัสเอาไว้อย่างแน่นหนา ไม่ว่าจะเป็นพาสเวิร์ด รูป อีเมล์ แอพการเงิน* รวมถึงข้อมูลของ Samsung Pay ทั้งหมดก็ถูกเก็บเอาไว้ในนี้ด้วยเช่นกัน แต่เจ้ากล่องนี้ไม่ได้เป็นเพียงซอฟท์แวร์ที่เขียนขึ้นมาเท่านั้น แต่มันยังถูกปกป้องอีกชั้นด้วยฮาร์ดแวร์ ซึ่งทำหน้าที่เป็น e-fuse ที่หากตรวจพบความผิดปกติ หรือมีความพยายามจะบุกรุก เจาะเข้ามาโจรกรรมข้อมูล ไม่ว่าจะเป็นมัลแวร์ หรือการรูทเครื่อง ตัว e-fuse นี้ก็จะขาดลง และทำให้กล่องนี้พังลงไปในในทันที ข้อมูลทั้งหมดที่อยู่ในกล่องนิรภัยนี้จะไม่สามารถเข้าถึงได้อีกต่อไป ซึ่งตัว e-fuse นี้จะไม่สามารถซ่อมแซมหรือกู้คืนได้  ดังนั้นหากเครื่อง Samsung Galaxy ของใครผ่านการ Root มาแล้วล่ะก็ หมดสิทธิ์ที่จะใช้งาน Samsung Pay ไปโดยปริยายนะครับ ต้องเปลี่ยน Mainboard ใหม่เท่านั้น

*ถ้าต้องการเก็บข้อมูลหรือแอพเหล่านี้ใน Samsung Knox ต้องมีการตั้งค่าเพิ่มเติมนะ

ปกป้องมั่นใจด้วยการป้องกันหลายชั้น ทั้งฮาร์ดแวร์และซอฟท์แวร์ – แยกข้อมูลที่สำคัญออกมาเก็บเอาไว้ในเซฟ – สั่งควบคุมเครื่องได้จากระยะไกล

สำหรับความปลอดภัยของ Samsung Knox นี้ได้รับการยอมรับจากหน่วยงานทางการทหารของสหรัฐอเมริกา และยินยอมให้ใช้ปฎิบัติการในงานที่มีข้อมูลสำคัญ ลับสุดยอดอีกด้วยref

ความสามารถของ Samsung Knox นี้ไม่ได้ถูกสร้างขึ้นมาแค่เพียงป้องกัน Samsung Pay แต่ยังถูกพัฒนานำเอาไปใช้ในด้านอื่นๆได้อีกมากมาย เช่น ใช้พื้นที่ของ Knox เป็นพื้นที่ส่วนทำงาน แยกไลฟ์สไตล์ของชีวิตส่วนตัวและออฟฟิศออกจากกันได้อย่างง่ายดาย สำหรับคนที่ต้องการหาข้อมูลเพิ่มเติมเกี่ยวกับ Samsung KNOX เราเคยเขียนเอาไว้แล้วทีนึง ยังไงเข้าไปอ่านเพิ่มเติมกันได้นะ

และนี่ก็เป็นข้อมูลด้านความปลอดภัยทั้งหมดของ Samsung Pay และ Samsung Knox ที่หยิบเอามาฝากกันนะ จะได้พอเข้าใจภาพรวมว่าทั้งสองตัวนี้มันมีการทำงานอย่างไร และมันปลอดภัยแค่ไหน ยังไงถ้ามีข้อสงสัยส่วนใดก็มาคอมเม้นท์คุยกันได้นะ