23/09/2014

Apple Pay: czy bezpiecznie jest płacić iPhone’em?

Informacje Porady

9 września firma Apple pokazała kilka nowych urządzeń oraz swój nowy system płatności składający się z czipa NFC, czujnika Touch ID i aplikacji Passbook. Zatem dowiedzmy się, jak to działa, co nam daje i jak dobrze ten system jest chroniony.

Stuminutowe wystąpienie Apple’a, które odbyło się we Flint Center w Kalifornii, pokazało światu wiele nowych urządzeń, tradycyjnie dzieląc widzów na trzy grupy: „Apple nie jest już tak dobry jak kiedyś”, „Widzieliśmy to już na Androidzie” i „Biorę w ciemno!”. Nie chcemy przyłączać się do żadnej z tych grup, bo jest coś znacznie bardziej interesującego niż rozmiar ekranu czy święte wojny. Mam tu na myśli Apple Pay – nowy system płatności, który został stworzony przez firmę Apple przy udziale takich firm jak Visa, MasterCard i AmEx i jest oparty na czipie NFC, czujniku Touch ID i aplikacji Passbook. Apple chce, aby iPhone połączył funkcję Twojego portfela i kart kredytowych. Ale czy robi to wystarczająco bezpiecznie i Twoje pieniądze nie trafią do kieszeni cyberprzestępców?

New-iPhone6-1

Apple Pay (tak, wygląda na to, że firma rezygnuje z dodawania przedrostka „i”) to system płatności mobilnej, który łączy przeprowadzanie transakcji z kilkoma interesującymi rozwiązaniami technologicznymi. NFC, Touch ID, Passbook — wszystko tutaj współdziała, aby Twoje zakupy były wygodniejsze i bezpieczniejsze. Przynajmniej tak dowiedzieliśmy się na prezentacji.

A zatem, jak to działa? Właściwie tak samo jak karty PayPass czy PayWave: wszystko, co musisz zrobić, to przytrzymać przez chwilę swoje urządzenie do płacenia z włączoną opcją NFC tuż przy czytniku, a następnie potwierdzić transakcję. Tak jak w przypadku karty kredytowej jest to kod PIN, tak Apple Pay używa skanera Touch ID umieszczonego w iPhone’ach, który wymaga od Ciebie przytrzymania palca podczas przetwarzania płatności.

Wygląda na to, że Apple Pay jest bezpieczny, jednak przechowywanie informacji o wszystkich Twoich kartach kredytowych na iPhonie może się źle skończyć dla Twoich pieniędzy.

Najpierw musisz przeskanować swoim iPhone’em karty kredytowe, aby zapisać w aplikacji Passbook wszystkie informacje typu numer karty czy data ważności. A teraz najbardziej interesująca i skomplikowana część technologii Apple Pay: aby podczas procesu płatności nie korzystać z numerów Twojej aktualnej karty kredytowej lub debetowej, używany jest identyfikator urządzenia. Jest to coś w rodzaju tokena, który zostaje przypisywany do urządzenia, przechowywanego w miejscu, gdzie znajdują się informacje o karcie. Jest on bezpiecznie przechowywany (oczywiście w postaci zaszyfrowanej) w specjalnym czipie nowych iPhone’ów i zegarków Apple Watch. A zatem podczas płacenia wykorzystywany jest niemożliwy do zidentyfikowania specjalny kod, a nie Twoje dane uwierzytelniające.

Takie podejście jest dobre z co najmniej dwóch powodów. Po pierwsze: podczas przeprowadzania transakcji ani sklep, ani przestępca (który będzie próbował przechwycić dane) nie może uzyskać informacji o Twojej karcie kredytowej czy debetowej. W najgorszym przypadku atakujący może uzyskać jedynie numer tokena. Po drugie: nawet jeśli numer zostanie przechwycony, nie jest nic warty, bo działa to tylko wtedy, gdy jest przesyłany z określonego urządzenia, na którym został utworzony. Jeśli urządzenie zostało skradzione, do dzieła wkracza ochrona Touch ID. Zawsze można skorzystać z usługi Find My iPhone, która zablokuje Twojego iPhone’a lub nawet wymaże z niego wszystkie informacje, łącznie z informacjami o karcie. Co za tym idzie, Ty nie będziesz musiał blokować swojej karty kredytowej lub kont bankowych, aby uchronić swoje pieniądze przed kradzieżą.

Ale czy ten system jest naprawdę bezpieczny? Dmitrij Bestużew, ekspert z Kaspersky Lab, mówi, że to jest kwestia sporna: „Touch ID nie zawsze działa właściwie, dlatego Apple umożliwia Ci wprowadzenie PIN-u. Na przykład gdy Twoje palce są mokre, Touch ID może nie działać lub mylić się. Ten sam schemat może być wykorzystany przez cyberprzestępców podczas autoryzowania transakcji”. Apple Watch nie posiada skanera Touch ID, ale transakcje zatwierdzić można PIN-em (w przypadku pierwszej transakcji). Każda kolejna płatność nie wymaga podawania kodu tak długo, jak zegarek znajduje się na ręce (co wykryją czujniki na spodzie Apple Watch). Po jego zdjęciu należy ponownie podać PIN w przypadku dokonywania płatności. Jest to rozwiązanie wygodne, ale jednocześnie bezpieczne w przypadku kradzieży zegarka.

Jest jeszcze jedna sprawa: sposób, w jaki przechowywane są informacje o karcie. Jak pewnie wiesz, prawie wszystkie dane przechowywane na iPhonie mogą zostać zsynchronizowane z wieloma zaufanymi urządzeniami iOS. I nie są to tylko zdjęcia czy zakładki przeglądarki, ale także hasła, które są przechowywane w aplikacji o nazwie Pęk kluczy. Zatem jeśli dane uwierzytelniające karty kredytowej, debetowej lub tokenów są przechowywane w ten sam sposób, włączanie synchronizacji urządzenia z innymi smartfonami może źle się skończyć dla Ciebie i Twoich pieniędzy. Poza tym, atakujący mogą zrobić to samo co Ty — wejść do Twojego Passbooka i uzyskać informacje o Twoich kartach, chyba że Apple to uniemożliwi lub bardzo utrudni. W październiku będziemy wiedzieć, czy tak będzie, gdy Apple Pay oficjalnie wejdzie w życie do ponad 200 000 amerykańskich sklepów. Będziemy Was o tym informować, więc zostańcie z nami.