จนถึงตอนนี้หลายๆคนที่ใช้ Samsung Galaxy น่าจะรู้จักเจ้า Samsung Pay บริการที่ทำให้เราไม่ต้องพกบัตรเครดิตอีกต่อไป แค่ยื่นมือถือแตะกับเครื่องรูดบัตรก็จ่ายได้เลยทันที และเราก็ได้มีเขียนบทความว่าด้วยเรื่องนี้แบบละเอียดๆไปแล้ว แต่ว่าเรื่องนึงที่เราอาจจะยังไม่ได้ลงลึกมากคือเรื่องความปลอดภัย ซึ่งวันนี้เราจะขอเอามาเล่าให้ฟังกันเพิ่มเติมว่า Samsung Pay นี่มันปลอดภัยแค่ไหน? มีวิธีไหนที่จะแฮกมันได้รึเปล่า?
สำหรับคนที่ยังไม่รู้จัก Samsung Pay เท่าไหร่ ขอแนะนำให้กลับไปอ่านรายละเอียดเพิ่มเติมได้ที่ ทำความรู้จัก Samsung Pay บริการที่จะทำให้เราไม่ต้องพกบัตรเครดิตให้ตุงกระเป๋าอีกต่อไป และ 7 ข้อควรรู้ก่อนใช้ Samsung Pay ก่อนนะครับ ปัจจุบันมีการจำกัดธนาคารและรุ่นโทรศัพท์ที่ใช้งานได้อยู่
ความปลอดภัยของ Samsung Pay
เป็นเรื่องที่คนสอบถามกันมากที่สุดเมื่ออธิบายบริการนี้ให้ใครฟังว่ามันน่าเชื่อถือแค่ไหนในการใช้งาน Samsung Pay นี้ มีความรัดกุมในการตรวจสอบข้อมูลเพียงใด มีสิทธิ์จะโดนปลอมแปลงได้รึเปล่า ดังนั้นก่อนอื่นเรามาทำความเข้าใจกันก่อนดีกว่าว่า Samsung Pay มีกระบวนการอย่างไรในการปกป้องข้อมูลของเราครับ ซึ่งหลังจากพยายามหาข้อมูลมาทั้งหมดแล้ว ผมก็ขอนำเอามันมาแสดงเป็น infographic ให้ดูง่ายๆดังนี้ครับ
ขั้นตอนการลงทะเบียนบัตรเพื่อใช้งาน
ผู้ใช้งาน Samsung Galaxy ถ่ายรูปและกรอกข้อมูลบัตร พร้อมยืนยันตัวตน
ส่งข้อมูลบัตรเหล่านั้นไปที่ Samsung Pay
Samsung Pay ส่งต่อไปให้ที่ VISA / Mastercard เพื่อแปลงข้อมูลบัตรให้เป็น Token
จ่าย Token กลับไปพร้อม Key สำหรับการเข้า-ถอดรหัส ไปยัง Samsung Pay
Samsung Pay ส่งต่อ Key และ Token ไปให้ผู้ใช้งาน เก็บเอาไว้ในเครื่อง
(ID&V) เป็นการยืนยันตัวตนกับทางธนาคารผู้ออกบัตรเครดิตใบนี้ให้กับเรา
ถ้าดูตามกราฟิกด้านบนนี้จะเห็นว่า Samsung Pay จะส่งข้อมูลบัตรของเราไปทำการแปลงให้กลายเป็น Token หรือชุดข้อมูลเสมือนที่ถูกเข้ารหัสโดยการสุ่มเพื่อใช้แทนเลขและข้อมูลอื่นๆบนบัตรเครดิต ซึ่งการทำแบบนี้จะสร้างความปลอดภัยขึ้นมาชั้นแรกก่อน คือ ทำให้ข้อมูลที่ใช้บน Samsung Pay นี้จะเป็นเหมือนบัตรอีกใบที่จำลองขึ้นมา ข้อมูลต่างๆจะแยกจากกันบัตรหลักทันที คนทั่วไปไม่สามารถรู้ได้ว่าบัตรใบนี้ถูกสร้างขึ้นมาจากบัตรใบไหน มีเลข CCV วันหมดอายุอะไร พนักงานที่ร้านจะจดเลขบัตรหรือข้อมูลอะไรไป ก็เอาไปใช้ก็ไม่ได้อยู่ดี แต่ว่าตัวเราเองที่มีกุญแจอยู่นั้นจะยังสามารถติดตามได้ว่าใช้งานอะไรไปบ้าง หรือถ้าบัตรนี้มันเกิดหายหรือมีปัญหาอะไรเมื่อไหร่ก็ปิดทิ้งได้โดยไม่มีผลกระทบอะไรกับบัตรหลัก เพราะมันเป็นข้อมูลที่ถูกจำลองขึ้นมาเท่านั้นนั่นเองครับ กล่าวโดยสรุปคือใช้ Samsung Pay บัตรเครดิตของเราจะปลอดภัย เพราะข้อมูลสำคัญบนบัตรไม่ได้ถูกเก็บเอาไว้ในเครื่องเลยนั่นเอง
กระบวนการที่เกิดขึ้นระหว่างการใช้งาน
ยืนยันตัวตนโดยใช้ ลายนิ้วมือหรือ PIN เพื่อชำระเงิน เครื่องจะส่ง Token และ Cryptogram ไปให้ EDC (เครื่องรูด)
POS ส่งข้อมูลต่อไปยังธนาคารผู้ออกเครื่อง EDC นั้น
ธนาคารที่เป็นเจ้าของเครื่องส่งต่อข้อมูลไปยังเครือข่ายบัตรเครดิต
ถอดรหัสข้อมูลผ่านเครือข่าย
ส่งข้อมูลที่ถอดรหัสแล้วกลับมา
ส่งต่อข้อมูลไปยังธนาคารเพื่อตรวจสอบข้อมูล เช่น วงเงินยังมีเหลือมั้ย ใช้จ่ายไปเท่าไหร่ เวลาใด ที่ไหน ฯลฯ และบันทึกข้อมูลทั้งหมด จากนั้นก็ส่งข้อมูลย้อนทางกลับไปยังส่วนต่างๆจนถึงมือถือเรา
ตามกราฟิกนี้ จะเห็นว่าการส่งข้อมูลจากโทรศัพท์ของเราออกไปนั้นจะไม่มีข้อมูลที่เกี่ยวกับบัตรอยู่เลย แต่เป็นการส่ง Token ที่เราได้รับจากเมื่อตอนลงทะเบียนบัตรออกไปแทน ตรงนี้เองถ้ามีคนร้ายมาดักข้อมูลระหว่างทางก่อนที่จะไปถึงเครือข่ายบัตรเครดิตได้ ก็จะไม่ได้ข้อมูลอะไรไปเลยเพราะถูกเข้ารหัสเอาไว้อย่างแน่นหนานั่นเอง
แต่จากทั้งหมดที่ได้กล่าวไปนั้น ก็ยังมีคนสงสัยว่าแม้ระบบของ VISA / Master จะแข็งแกร่งเพียงใด แต่จากข่าวที่เคยได้ยินว่าตัว Android หรือ Samsung Galaxy เองมีจุดอ่อนให้คนเจาะเข้ามาดูดข้อมูลไปได้ แล้วมันจะไปปลอดภัยได้ยังไง? โดน root เครื่องก็สามารถเจาะเข้าไปดูข้อมูลได้แล้วหรือเปล่า? ซึ่งตรงนี้เองทาง Samsung ก็ได้มีการทำระบบป้องกันเพิ่มเติมขึ้นมาอีกชั้น เป็นพระเอกช่วยปกป้องระบบ ไม่ให้ถูกเจาะได้อย่างง่ายดายเหมือน Android เครื่องอื่นๆ นั่นก็คือ Samsung Knox
Samsung Knox ทำหน้าเป็นเหมือนกล่องเก็บข้อมูลนิรภัย อะไรที่เก็บอยู่ในนี้จะถูกปกป้องเข้ารหัสเอาไว้อย่างแน่นหนา ไม่ว่าจะเป็นพาสเวิร์ด รูป อีเมล์ แอพการเงิน* รวมถึงข้อมูลของ Samsung Pay ทั้งหมดก็ถูกเก็บเอาไว้ในนี้ด้วยเช่นกัน แต่เจ้ากล่องนี้ไม่ได้เป็นเพียงซอฟท์แวร์ที่เขียนขึ้นมาเท่านั้น แต่มันยังถูกปกป้องอีกชั้นด้วยฮาร์ดแวร์ ซึ่งทำหน้าที่เป็น e-fuse ที่หากตรวจพบความผิดปกติ หรือมีความพยายามจะบุกรุก เจาะเข้ามาโจรกรรมข้อมูล ไม่ว่าจะเป็นมัลแวร์ หรือการรูทเครื่อง ตัว e-fuse นี้ก็จะขาดลง และทำให้กล่องนี้พังลงไปในในทันที ข้อมูลทั้งหมดที่อยู่ในกล่องนิรภัยนี้จะไม่สามารถเข้าถึงได้อีกต่อไป ซึ่งตัว e-fuse นี้จะไม่สามารถซ่อมแซมหรือกู้คืนได้ ดังนั้นหากเครื่อง Samsung Galaxy ของใครผ่านการ Root มาแล้วล่ะก็ หมดสิทธิ์ที่จะใช้งาน Samsung Pay ไปโดยปริยายนะครับ ต้องเปลี่ยน Mainboard ใหม่เท่านั้น
*ถ้าต้องการเก็บข้อมูลหรือแอพเหล่านี้ใน Samsung Knox ต้องมีการตั้งค่าเพิ่มเติมนะ
ปกป้องมั่นใจด้วยการป้องกันหลายชั้น ทั้งฮาร์ดแวร์และซอฟท์แวร์ – แยกข้อมูลที่สำคัญออกมาเก็บเอาไว้ในเซฟ – สั่งควบคุมเครื่องได้จากระยะไกล
สำหรับความปลอดภัยของ Samsung Knox นี้ได้รับการยอมรับจากหน่วยงานทางการทหารของสหรัฐอเมริกา และยินยอมให้ใช้ปฎิบัติการในงานที่มีข้อมูลสำคัญ ลับสุดยอดอีกด้วยref
ความสามารถของ Samsung Knox นี้ไม่ได้ถูกสร้างขึ้นมาแค่เพียงป้องกัน Samsung Pay แต่ยังถูกพัฒนานำเอาไปใช้ในด้านอื่นๆได้อีกมากมาย เช่น ใช้พื้นที่ของ Knox เป็นพื้นที่ส่วนทำงาน แยกไลฟ์สไตล์ของชีวิตส่วนตัวและออฟฟิศออกจากกันได้อย่างง่ายดาย สำหรับคนที่ต้องการหาข้อมูลเพิ่มเติมเกี่ยวกับ Samsung KNOX เราเคยเขียนเอาไว้แล้วทีนึง ยังไงเข้าไปอ่านเพิ่มเติมกันได้นะ
และนี่ก็เป็นข้อมูลด้านความปลอดภัยทั้งหมดของ Samsung Pay และ Samsung Knox ที่หยิบเอามาฝากกันนะ จะได้พอเข้าใจภาพรวมว่าทั้งสองตัวนี้มันมีการทำงานอย่างไร และมันปลอดภัยแค่ไหน ยังไงถ้ามีข้อสงสัยส่วนใดก็มาคอมเม้นท์คุยกันได้นะ
มี KNOX เอาอยู่
ต้องรอดูยาวๆ
มีใครแอดบัตรกรุงศรีได้มั่งอ่ะครับ
อยากรู้ว่า s6 จะได้ใช้มั้ยค้าบ
ไม่ได้อยากรู้ว่าปลอดภัยแค่ไหน แต่อยากรู้ว่า
เมื่อไหร่จะใช้ในร้านปกติที่คนใช้ในชีวิตประจำวัน
เช่น แมคโดนัล บู้ท วัสสัน สตาร์บัค ได้ซะที
Robinson, Starbuck ใช้ได้ครับ ลองมาแล้ว แต่ผมเจอปัญหาเรื่องเคส ตอนแรกเลยใช้ไม่ได้ พอถอดออกก็ผ่านฉลุย
ใช้ได้หมดทุกที่ที่กล่าวมา เพราะลองมาหมดแล้ว นอกจากพนักงานจะเรื่องมา ไม่ให้ใช้ หรือทำไม่เป็น แต่ถ้าเจอก็จะสอนวิธีให้ตรงนั้นเลย หึหึ
Central pattaya beach ใช้ไม่ได้ซักร้านครับ
พนักงานบอกเครื่องยังไม่รองรับ
ล็อกอิน เพื่อเข้ามาตอบอันนี้เลย. ผมรับรองว่าใช้ได้กับแมคโดนัลด์ ทุกสาขาที่มีเครื่อง EDC แบบรองรับ VISA PAYWAVE ครับ เพราะมีลูกค้าเคยมาใช้บริการอยู่ครับ Samsung payและไม่ใช่ซัมซุง อิอิ.
ล๊อคอินมาคอนเฟิร์มอีกเสียง
ใช้ได้ หลายแห่งแล้ว ขอแค่มีเครื่องรูด กับพนักงานยอม (รูดตาบั๊ก จนได้ power bank ฟรี)
เทคนิคผมคือ ตอนไปครั้งแรก บอกพนักงานว่าจะรูดบัตร ปล่อยให้เค้ากดไป จนถึงตอนรูด ค่อยบอกว่า เอาหลังเครื่องนี้ไปทาบแทนรูดบัตรนะครับ มันเป็น เครดิตการ์ดแบบใหม่ ไม่ต้องกลัว ถ้าไม่ผ่านค่อยเอาบัตรจริงไปครับ
ส่วนร้านที่ต้องเสียบ ก้อบอกแบบเดียวกัน
(ซ้ำ)
พนักงานทำไม่เป็นตอนนี้เลยไม่มีอะไรต่าง
ของผมนี่ประสบการณ์ไปใช้ Lotus พนักงานทำไม่เป็นสุดท้ายผมลองบอกให้กดรับแบบ credit แล้วเอาโทรศัพท์ไปทาบจนใช้ได้ Supervisor Lotus ยังงงจนขอถ่ายรูปวิธีการ บอกจะเอาไปส่ง Line ให้พนักงานคนอื่นทราบ …
ใครใช้งาน Samsung Pay
คอยตรวจสอบการใช้งานด้วยนะครับ
ท่าทางผมจะโดนเป็นคนแรก
ทาง citibank กำลังช่วยตรวจสอบให้อยู่ครับ
#SamsungPay #Skimming
https://m.pantip.com/topic/36902191?