25/03/2015

Samsung Pay: Pierwsze przemyślenia w związku z bezpieczeństwem

Porady Technologie

Podczas Światowego Kongresu Technologii Mobilnych w Barcelonie, który odbył się na początku tego miesiąca, gigant na rynku smartfonów z Androidem – Samsung – pokazał swoją platformę płatności mobilnych, Samsung Pay. Nazwa dosyć mocno kojarzy się z Apple Pay, platformą płatności mobilnych największego rywala Samsunga. A jednak Samsung Pay ma coś, czego nie ma Apple Pay: Magnetic Secure Transmission (MST).

samsung-pay-vk

Autorem technologii MST jest firma LoopPay, którą Samsung przejął po cichu w połowie lutego. Różnica jest następująca: Apple Pay jest przeznaczone dla ludzi, którzy podczas korzystania z terminali typu point-of-sale mają włączoną komunikację bliskiego zasięgu (NFC). Natomiast dzięki MST Samsung Pay może współpracować z istniejącym paskiem magnetycznym reagującym z systemami point-of-sale. Czytniki pasków magnetycznych są oczywiście najczęściej stosowaną metodą w terminalach płatniczych, szczególnie w Stanach Zjednoczonych, gdzie adopcja czipów i PIN-ów (EMV) jest opóźniona. Wynika stąd, że Samsung Pay także jest gotowe na NFC, chociaż firma milczy na temat swojej nowej aplikacji do płatności.

Nie jesteśmy szczególnie zainteresowani brodzeniem w nigdy nie kończącej się batalii Apple vs. Samsung, ale jak zwykle ciekawi nas poziom bezpieczeństwa tej nowej, potencjalnie popularnej platformy płatności. Na temat bezpieczeństwa MST nie ma opublikowanych zbyt wielu badań, podobnie trudno znaleźć informacje o działaniu systemu Samsung Pay. Dlatego zobaczymy, co sama firma LoopPay powiedziała o stworzonej przez siebie technologii.

Na początek kilka słów celem objaśnienia: MST opiera się na oddziaływaniu prądu zmiennego przez pętlę indukcyjną, przez co generowane jest dynamiczne pole magnetyczne, które zmienia się w zdefiniowanym przez użytkownika okresie. Jeśli Twoje urządzenie znajduje się w odległości ok. 7 centymetrów od czytnika kart wyposażonych w pasek magnetyczny (takiego, przez który przeciągasz swoją kartą kredytową lub debetową), rozpoznaje on wygenerowane pole magnetyczne.

Podobnie jak w przypadku tradycyjnej karty kredytowej czy debetowej, wspomniane pole magnetyczne zawiera informacje o Twojej płatności. Pole to istnieje jedynie podczas przesyłania płatności, a zanika w odległości powyżej 7 centymetrów. Oznacza to, że aby ukraść dane, atakujący musiałby znajdować się naprawdę bardzo blisko podczas procesu płatności. Nie wiadomo, czy ta technologia oferuje (a jeśli tak, to jakie) inne zabezpieczenia niż tradycyjny model płatności kartą. Ale bezpieczniej jest założyć, że nie.

W aplikacji LoopPay użytkownik może zaznaczyć, czy chce, aby jego urządzenie emitowało pole magnetyczne: przez cały czas, nigdy, przez dziesięć minut, osiem godzin albo przez jakiś inny czas. Do przeprowadzenia płatności potrzebny jest odpinany komponent sprzętowy zawierający przycisk do przesyłania danych. Zatem, aby usługa zadziałała, użytkownik musi ustawić w urządzeniu przesyłanie danych płatności na wybrany okres i następnie fizycznie wcisnąć guzik.

Wygląda na to, że w Samsungu zarówno sprzęt MST, jak i przycisk transmisji są wbudowane w urządzenia umożliwiające płatność Samsung Pay. Poprosiliśmy firmę o potwierdzenie naszych domysłów, ale nie otrzymaliśmy konkretnej odpowiedzi.

W swojej informacji prasowej Samsung napisał, że do zainicjowania aplikacji Samsung Pay użytkownicy będą musieli jedynie przesunąć palcem po ekranie z dołu do góry. Wówczas będą mogli wybrać, która karta zostanie użyta (spośród przechowywanych w portfelu Samsung Pay), i ostatecznie autoryzować płatność przy pomocy skanera odcisku palca wbudowanego w urządzenie. Co interesujące, w opublikowanej informacji prasowej dość ogólnikowo napisano, że Samsung Pay będzie dbał o bezpieczeństwo, wykorzystując platformę Knox.

Jeżeli Samsung nie zdoła zastosować w swoim nowym systemie płatności czipów i PIN-u, to zwyczajnie zmusi klientów do korzystania z przestarzałego i niebezpiecznego sposobu płatności.

Wciąż jednak nie jest jasne, jak zbliżająca się integracja bezpieczniejszych technologii (czip i PIN) wpłynie na zastosowanie czytników pasków magnetycznych. Firma LoopPay udostępniła obszerną sekcję FAQ dotyczącą EMV. Można z niej wnioskować, że według firmy metoda MST jest tak samo bezpieczna jak stosowanie czipów i PIN-ów. Ciekawe, czy Samsung ma inne pomysły, zwłaszcza w kontekście decyzji o całkowitym zaadoptowaniu technologii czipów i PIN-u na terenie Stanów Zjednoczonych do końca 2015 r.

Jeżeli Samsung nie zdoła zastosować w swoim nowym systemie płatności czipów i PIN-u, to zwyczajnie zmusi klientów do korzystania z przestarzałego i niebezpiecznego sposobu płatności. Poza tym LoopPay spekuluje, że te czytniki pasków magnetycznych pozostaną w użyciu. Nie można wykluczyć też tego, że mogą pojawić się jakieś inne mechanizmy płatności, które podważą obecny model.

Najwięcej obaw budzi sama implementacja. Jak we wszystkim: od systemów operacyjnych po termostaty podłączone do internetu, błędy są nieuniknionym elementem rozwoju. Musimy poczekać na oficjalne stanowisko w Południowej Korei i USA, które ma się pojawić tego lata. Po pojawieniu się Samsung Pay na rynku otwartym zarówno badacze bezpieczeństwa, jak i hakerzy będą polować na błędy, a my będziemy o tym pisać.

Android to platforma otwarta, która posiada 76,6-procentowy udział w rynku. Są to dwa najważniejsze powody, dlaczego system ten znacznie częściej znajdował się na celowniku przestępców, a które mogą sprawić, że dla oszustów bardziej atrakcyjny będzie Samsung Pay niż Apple Pay.