Платить смартфоном страшно? Вся правда о безопасности банковских карт в телефоне

Фото © Apple Inc

Apple Pay, Android Pay и Samsung Pay уже больше года работают в России, но до сих пор есть люди, которые боятся оплачивать покупки телефоном. Они переживают, что данные банковских карточек могут попасть к третьим лицам и привести к потерям на счетах. Павел Городницкий объяснил, как всё работает на самом деле.

Механика мобильных платежей элементарна: кассир называет цену, а покупатель достаёт из кармана не карточку, а смартфон. Затем нужно либо снять отпечаток пальца, либо показать лицо фронтальной камере, либо просто ввести пароль, после чего гаджет одобрит покупку.

Потом — лёгкое касание терминала. Готово: деньги моментально списываются, а кассир выдаёт чек.

Почему это удобнее, чем платить картой?

1. Не нужно ничего доставать из бумажника — можно просто извлечь телефон, который и так всегда под рукой.

2. Вводить пин-код приходится крайне редко, а вот при PayPass есть лимит беспарольных покупок (как правило, 1000 рублей). К тому же карты без PayPass тоже до сих пор живы: там пин-код требуют даже при «грандиозных» транзакциях на 10–15–20–150 рублей.

Сотни тысяч людей уже освоили и оценили Apple Pay, Android Pay и другие аналогичные системы, пришедшие в Россию осенью 2016 года. Однако есть и те, кто уверен, что данные карточки могут попасть или к производителю смартфона, или к оператору, или вообще к хакерам, которые моментально опустошат счёт.

Пора рассказать, почему эти фобии беспочвенны. Логичнее всего пояснить схему на примере Apple Pay — тем более остальные сервисы функционируют по той же схеме.

Во-первых, Apple просто сотрудничает с банками, которые и настраивают процедуру обмена данными. Далеко не каждую карту можно внести в Apple Pay — всё зависит именно от банков, а не от условного Тима Кука. У компании из Купертино вообще нет контроля за обработкой транзакции. Представители Apple лишь договариваются, что генерируемые ими токены будут приниматься банком как валидное подтверждение оплаты. Токены в этом контексте — одноразовые пакеты, которые создаются на NFC-чипе и содержат информацию о транзакции (время, сумма, зашифрованные ключи).

Во-вторых, единственный, кто получает данные карты при первом запуске Apple Pay, как раз выпустивший карту банк, который подтверждает её при стартовой настройке.

В-третьих, номер карты используется только один раз (первый, ещё при настройке), а затем не хранится вообще нигде. На отдельный чип (Secure Element в NFC-чипе, если быть точнее) в зашифрованном виде записывается специально сгенерированный номер счёта устройства (Device Account Number), который, даже если его уведут и расшифруют злоумышленники (что абсолютно нереалистично), не может использоваться совершенно ни для чего. Деньги с его помощью не украсть.

В-четвёртых, во время оплаты на терминал отправляются не данные карточки, а сгенерированный токен, который ещё должен быть подтверждён со стороны банка. Опять же: информацию о карточке в этот момент не получает вообще никто — к ней нет доступа в том числе у Apple. Кстати, на стороне банков действуют довольно продвинутые системы по распознаванию подозрительных транзакций, которые будут блокировать списание средств, если что-то пойдёт не так.

И пятый пункт для тех, кто ещё сомневается. Всё то же самое, что описано выше, происходит и при оплате через PayPass, но там токен генерируется чипом внутри карточки, а не смартфона.

Здесь же всё происходит на изолированном чипе внутри устройства, а генерация токена возможна только при подтверждении биометрическим сенсором или паролем.

Фото © Apple Inc

PayPass даже уступает Apple Pay по уровню безопасности: мошенник может украсть карту и оплачивать ей покупки, не нарушая лимит (то есть не выходя за рамки 1000 рублей, если говорить о России). С телефоном так сделать не получится, если, конечно, жертва сама не разболтает пароль для оплаты.

Алгоритмы Samsung Pay и Android Pay такие же: передаётся исключительно токен, а не данные карточек. Правда, Samsung Pay ещё умеет оплачивать при помощи MST (Magnetic Secure Transmission), где поддерживаются даже устаревшие терминалы без NFC.

Такой способ считается чуть менее безопасным: в 2015 году компания LoopPay (её Samsung купила для создания платёжной системы) оказалась уязвима к атаке, которая позволяла перехватывать магнитный сигнал. Samsung Pay к тому моменту использовал токенизацию номеров и защитный пакет KNOX и не был уязвим, но про теоретические уязвимости MST говорят и сейчас.

Поэтому, если вам нужна полнейшая безопасность, лучше довериться NFC-системам: они как минимум не менее надёжны, чем у классических бесконтактных карт. А по факту — даже надёжнее за счёт биометрических датчиков.

life.ru

Samsung Pay, оплата телефоном. Безопасно или нет?

Краткое содержание:

• Samsung Pay
• Истории и мифы
• Заключение
• Обсуждение

У многих сейчас новые смартфоны, у которых очень много функций и полезных программ. Одна из них — программа PAY. Мнения у людей разделились, многие считают, что оплата телефоном не безопасна и злоумышленники украдут ваши деньги, а кто пользуется данной программой — рассказывают о удобстве и безопасности данного способа. Вот об этом и поговорим.

Samsung Pay

Как утверждает сам разработчик, Samsung Pay работает более чем с 80 банками в России и Беларуси. А также поддерживает множество программ лояльности разных магазинов, число которых увеличивается.

Вы можете авторизовать платеж своим взглядом, используя сканер радужки глаза. Это один из самых безопасных методов биометрической аутентификации для защиты ваших транзакций с помощью Samsung Pay.

Токенизация

Вместо данных реальной банковской карты используется токен – специальный цифровой код, созданный случайным образом.

Ваша личная информация остается в безопасности. Данные, которые Samsung Pay передает на платежный терминал – уникальны для каждой отдельной покупки.

Главная особенность Samsung Pay заключается в том, что, помимо технологии NFC (Near Field Communication), он поддерживает собственную технологию Samsung MST (Magnetic Secure Transmission). За счет этого сервис совместим не только с устройствами оплаты по NFC, которые в России не так распространены, но и с платежными терминалами, где принимаются банковские карты только по контактному чипу и магнитной полосе.

Безопасность

Для Samsung безопасность выступает центральным аспектом продуктов и идентичности. Компания многие годы совершенствует свою платформу безопасности Knox, чтобы гарантировать пользователям надежную конфиденциальность в нестабильном мире, полном угроз и нарушений безопасности. Безопасность мобильных устройств Samsung начинается на аппаратном уровне: ваше устройство защищено технологией Knox с первого включения.

И по мере расширения спектра угроз безопасности развиваются и решения. Samsung постоянно внедряет инновации, отвечающие вызовам будущего. Поэтому мы готовы защитить ваш цифровой мир, что бы ни уготовило нам завтра — так красиво это описывает разработчик. Сложно поверить, но мы проверим.

Истории и мифы

В Интернете полно историй о воровстве денежных средств с телефона с использованием вирусов и краж аппарата. При подробном изучении отзывов и статей есть значительные нестыковки.

Очень расплывчатая информация и звучит неправдоподобно. На форуме задаешь дополнительные вопросы, ответы сказочные и никак не связанные с приложением.

Эксперты устанавливали возможность украсть денежные средства, но на ранних версиях телефона.

Согласно информации, опубликованной SecurityLab, компания Tencent провела анализ приложения Samsung Pay. В результате в нём была выявлена уязвимость, ставящая под угрозу платежную информацию пользователя.
В роли «подопытного» выступил смартфон Galaxy S6. Обнаруженная в программе «дыра» позволяет злоумышленникам во время оплаты перехватить участвующий в транзакции токен (генерируемый в момент оплаты уникальный цифровой код) и, создав еще один, снять деньги со счёта жертвы.
В Tencent отметили, что данную проблему удалось выявить только на вышеуказанной модели от Samsung – с другими устройствами тестерам не удалось добиться успеха. В то же время, по их мнению, это не делает прочие гаджеты невосприимчивыми к подобным взломам – нужно лишь применить «правильный набор инструментов».

Заключение

Пользоваться или нет данной программой на телефоне с операционной системой Андроид от компании Samsung — выбор за вами.

Мифы о том, что небезопасно использовать эту программу, не выдерживает никакой критики. Безопасность у Samsung Pay на хорошем уровне и обеспечивается платформой безопасности Knox, к которой за последнее время претензий нет.

Также используется биометрическая аутентификация Samsung, включающая распознавание лиц и ультразвуковой датчик отпечатков пальцев, предотвращает несанкционированный доступ к вашим данным, даже если устройство потеряно или украдено.

Единственное, что могу добавить, — за год пользования у меня проблем нет, одни удобства.

www.9111.ru

Samsung открыто говорит, что продаёт данные пользователей Samsung Pay

Несмотря на то что именно Apple считается, пожалуй, самой заботливой компанией, когда речь заходит об обеспечении безопасности клиентов, Samsung до недавнего времени тоже ни разу не становилась фигурантом дел о сливе пользовательских данных. Однако в наступившем году неожиданно выяснилось, что корейцы, во-первых, сливают часть конфиденциальной информации в Китай, а, во-вторых, недостаточно тщательно защищают свои устройства от хакерских атак. Но кто бы мог подумать, что Samsung будет вот запросто продавать данные пользователей Samsung Pay? Хорошо хоть запретить позволяют.

Данные пользователей Samsung Pay безжалостно продаются на сторону

Читайте также: Samsung запустила свою банковскую карту для Samsung Pay

Samsung занимается тем, что продаёт данные пользователей Samsung Pay, но при этом позволяет установить запрет на торговлю такого рода. На это обратили внимание жители США, использующие платёжный сервис. По их словам, такая возможность отсутствовала ранее и появилась только в этом году. Убедиться в этом, можно перейдя в раздел управления конфиденциальностью, который с некоторых пор доступен в интерфейсе Samsung Pay. Там пользователям предлагается ознакомиться с условиями обслуживания и при желании отключить продажу своих данных.

Как запретить продавать свои данные

Не хотите, чтобы вашими данными торговали? Установите запрет

Интересно, что такая возможность доступна только в США и отсутствует у пользователей из Европы, Индии, России и других стран. Это значит, что она напрямую связана с вступлением в силу закона, регламентирующего деятельность компаний, имеющих доступ к конфиденциальной информации. Скорее всего, появление запретительного механизма является следствием принятия закона штата Калифорния, который требует от компаний разъяснять своим клиентам во всех подробностях, как именно они используют их персональные данные, а также дать им возможность запросить полный пакет сведений о себе и запретить их передачу или продажу третьим лицам.

Читайте также: Samsung Pay начал убивать аккумуляторы смартфонов Samsung. Как исправить

Впрочем, здесь важно даже не то, что американцы смогли приструнить Samsung, а в том, что она вообще позволяет себе торговать пользовательскими данными. Всё-таки платёжная информация относится к категории чувствительной, ведь она может рассказать не только о том, что покупает конкретный человек, но и о том, где и как часто он бывает. А по этим данным уже можно отследить все его передвижения, образ жизни и, возможно, даже достаток. Да, не исключено, что Samsung сливает не все данные. Но если она сливает хоть что-то, это уже серьёзный повод задаться вопросом, а что, собственно, мешает ей слить всё остальное?

Почему Samsung продаёт ваши данные

Понять, почему Samsung позволяет себе такое поведение, по большому счёту несложно. Дело в том, что Samsung, в отличие от Apple, не взимает с банков никаких комиссионных сборов за каждую бесконтактную транзакцию, а потому фактически предоставляет пользователям бесплатный доступ к своему сервису. Но неужели вы думали, что настолько удобный и перспективный с точки зрения масштабирования аудитории продукт в принципе может быть коммерчески невыгодным? Конечно же, нет. А раз он предоставляется на безвозмездной основе, совершенно логично было предположить, что товаром являются те, кто им пользуется.

Читайте также: Samsung Pay в Galaxy Watch лишился своего главного оружия, это надо знать

Мне очень не хочется проводить параллелей и выстраивать умозаключительные цепочки. Однако в то же время нельзя не признать тот факт, что пользование Android, которая всегда считалась «бесплатной» операционной системой благодаря возможности пользоваться платными приложениями, не платя за это ничего, сегодня становится действительно опасным. Ведь если Apple гарантирует, что не торгует нашими данными, то ни Google, ни Samsung, ни кто-либо другой такой гарантии дать уже не может. А выводы, что с этим делать, вы должны сделать сами.

В интересное время мы живем. Пусть оно немного мрачное из-за всего, что происходит вокруг, но оно все равно интересное. Производители предлагают новые технические решения для нас на каждый день, а мы как бы говорим им, что они должны сделать. Они не всегда нас слушают, но у нас есть против них одно оружие — рыночная экономика. Нас много, а еще у производителей есть конкуренты и в их интересах сделать так, чтобы мы заинтересовались в их продукте. В целом, они стараются, но цена это то, что мы в том числе требуем от производителя. Конечно, сделать современный гаджет стоит дорого, но есть ощущение, что некоторые производители вообще берегов не видят и просто творят, что хотят. Особенно, когда конкуренты тоже заигрываются.

Пандемия коронавируса вынудила многие компании перейти на новую модель работы. Одни пришли к пониманию, что необязательно заставлять сотрудников ходить в офис, если можно работать из дома, другие были вынуждены изменить приоритеты и переключиться с разработки одних продуктов на другие, которые проще разрабатывать удалённо, а третьи начали один за другим выпускать инструменты, способные помочь людям пережить новую реальность. Например, Apple научила Face ID определять маску и сразу переключаться на экран ввода пароля, а также представила систему отслеживания больных коронавирусом. Но и Google не отстаёт.

Есть несколько причин, по которым люди покупают подержанный смартфон. Одна из них -это принципиальная позиция. Люди просто не хотят платить за новый гаджет на старте продаж и предпочитают купить его же, но через год. За это время цена нового смартфона может упасть на треть, а на вторичном рынке он будет стоить половину от этой стоимости. В итоге, экономия получается очень приличной. Но кто-то покупает старый смартфон только из-за того, что он очень нравится, но больше не выпускается. Какая бы не была причина покупки, надо все сделать правильно, чтобы не прогадать и не купить то, что оставит только чувство разочарования. В этой статье вы найдете несколько советов, как это сделать.

1 комментарий Оставить свой

«Ведь если Apple гарантирует, что не торгует нашими данными», посмеялся от души.

androidinsider.ru