Apple mówi: Portfel to przeżytek

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter

140917.apple.pay.01.400W ostatnich dniach Apple udowodnił, że jest w formie. Już teraz możemy za darmo ściągnąć darmowy album U2, w najbliższych dniach dostępny stanie się iPhone 6, a ledwie tygodnie dzielą amerykańskich użytkowników od Apple Pay. Eksperci z laboratorium Sophos nie czekają jednak na oficjalne pojawienie się funkcji i już teraz głośno zastanawiają się nad bezpieczeństwem tego produktu Apple.

Telefon i karta płatnicza w jednym

Tak jak w 2011 roku Google teraz Apple celuje w rynek płatności bezgotówkowych. Wykorzystanie technologii NFC, która właściwie przekształca telefon w kartę płatniczą, umożliwia płacenie bez konieczności fizycznego kontaktu karty z czytnikiem. Chipy NFC są powszechnie instalowane w paszportach czy biletach, a także w niektórych kartach kredytowych mają antenę, która jednocześnie działa jak cewka magnetyczna, wytwarzając przy zbliżeniu do pola elektromagnetycznego  odpowiednią ilość prądu, aby obudzić chip i doprowadzić do komunikacji z czytnikiem NFC.

Skoro na rynku dostępne są karty kredytowe z tego typu chipami to dlaczego ktokolwiek chciałby płacić używając iPhone 6 albo zegarka Apple (czy właściwie każdego wyposażonego w technologię NFC urządzenia Android)? Czemu powierzać detale karty kolejnej firmie, z nową listą warunków, tylko po to, żeby podczas płacenia sięgać po telefon zamiast po kartę?

Wygoda ponad bezpieczeństwem

Apple twierdzi, że chodzi o wygodę i bezpieczeństwo. Użytkownicy Apple cenią wygodę, co już nie raz udowodnili ufając Apple w takich kwestiach jak przechowywanie większej części swoich danych na iCloud, płaceniu kartą kredytową w iTunes i App Store czy godząc się, że skaner przycisku palca zastąpi kod dostępu do ich telefonu. Skoro więc wygoda jest ważna, a chipy NFC cieszą się dużą popularnością, istnieje szansa, że użytkownicy pokochają również Apple Pay.

A co z bezpieczeństwem. Apple uspokaja, że dane z karty nie będą zapisane na iPhonie. Telefon Apple będzie jedynie przechowywał zaszyfrowany odpowiednik tych informacji w pamięci chipu NFC, które to dane następnie posłużą do uzyskania autoryzacji zapłaty w banku użytkownika. Apple Pay w żadnym momencie nie używa danych z karty, które mogłyby zostać pobrane przez osobę trzecią. Skimming paska magnetycznego, w który są wyposażone nawet w najnowocześniejsze karty, nie będzie możliwy, gdyż taki pasek w Apple Pay po prostu nie istnieje. Ponadto przewaga nowej funkcji iPhona nad tradycyjnymi kartami z chipem NFC, tkwi w wymogu dodatkowego potwierdzenia zakupu przez zeskanowanie odcisku palca.

Rozwiązanie Apple ma zatem być szybsze, wygodniejsze i bezpieczniejsze niż wprowadzanie PINu w tradycyjnej karcie.

Koniec skimmingu?

W przypadku produktu Apple skimming czy carding nie wchodzi w grę. Karta nigdy nie jest dotykana ani nawet widziana przez osobę trzecią. Nikt nie zobaczy imienia właściciela, czy magicznych kodów CID/CVV2. Dodatkowe zabezpieczenie czytnika odcisku palca ma uniemożliwić zakupy w przypadku kradzieży telefonu.

Co mogłoby nie wypalić?

Eksperci Sophos wskazują na poważne niedociągnięcia w wizji Apple. Zastanówmy się przez chwilę co się stanie jeśli zdecydujemy się zastąpić swój portfel iPhonem, a on zostanie skradziony lub ulegnie zniszczeniu. Odpowiedź użytkowników jest prosta – mamy przecież iCloud. I tutaj właśnie pojawia się problem. Dane wykorzystywane przez Apple Pay są powiązane z Apple ID użytkownika, tak jak reszta informacji na iCloud. Oznacza to, że dokładnie te same niedociągnięcia w kwestii zabezpieczeń, które odprowadziły do niedawnego wycieku nagich zdjęć celebrytek, mogą w przyszłości doprowadzić do kradzieży cyfrowego portfela.

Jeden stopień uwierzytelniania

Do odtworzenia iPhona wystarczy jedno hasło. Apple dysponuje co prawda dwupoziomowym systemem weryfikacji, który pozwala unieważnić hasło Apple ID, ale system ten nie działa chroni iCloud. Jest to poważna luka w zabezpieczeniach, która do tej pory umożliwiała przestępcom uzyskanie dostępu do zdjęć i kalendarza atakowanej osoby, teraz może pozwolić na skuteczne sklonowanie Apple Pay.

Plusem jest, że Apple wymaga dwustopniowej weryfikacji przy każdorazowym logowaniu z nowego urządzenia. Oznacza to, że dotarcie do danych Apple Pay wymagałoby od przestępcy dostępu do urządzenia, którego użytkownik już wcześniej używał do logowania. W tym przypadku telefonu.

Niemniej, zwłaszcza gdy w grę wchodzą pieniądze, system podwójnej weryfikacji podczas przywracania urządzenia z iCloud, powinien stać się standardem.

Źródło: Sophos