và dùng chúng để thực hiện những cuộc thanh toán phi pháp . Salvador Mendoza đã đưa ra bản demo khai thác lỗi này tại Black Hat diễn ra ở Las Vegas .
Vấn đề nằm ở bên trong quy trình xử lí Token của Samsung Pay . Những Token này được tự động tạo ra khi người dùng bắt đầu mua bán . Tuy nhiên nếu việc mua bán này không hoàn thành thì Token sẽ duy trì ở trạng thái kích hoạt trong 24 giờ và thậm chí sau khi giao dịch kết thúc . Nếu người dùng bắt đầu giao dịch mua mới thì Token mới được tạo ra .
Trong đoạn video bên dưới , Mendoza đã demo cho thấy làm thế nào để lấy được Token đã được tạo ra , sau đó tải công cụ có tên là MagSpoof , được dùng để trên máy bán hàng tự động .
Samsung cho biết họ đã nhận biết được vấn đề này và khẳng định những cuộc tấn công như vậy “vô cùng khó xảy ra” .