Насколько безопасен сервис Apple Pay?

На этой неделе Apple официально представила платежную платформу Apple Pay, позволяющую осуществлять платежи с помощью iPhone.

Звучит здорово, но учитывая недавние громкие случаи провала в безопасность сервисов Apple, многие задаются вопросом: насколько это безопасно?

Очевидно, что Apple в этом не сомневается. Анонсруя Apple Pay, Тим Кук заявил, что их новая платежная платформа решит проблемы безопасности современной системы транзакций.

«Сейчас мы полностью зависим от цифр и устаревшей уязвимой магнитной полоски.»

Нельзя сказать, что он не прав, поскольку мобильные альтернативы для расчетов за покупки пытаются пробить себе дорогу уже много лет. И система, описанная Куком, звучит впечатляюще. Но проблема, как и раньше, заключается в том, что Apple Pay опирается на базовые технологии, безопасность которых вызывает большие сомнения.

Что хорошего
Решение Apple несколько отличается от тех систем мобильных платежей, которые мы видели раньше. Хотя для оплаты за покупку Вам по-прежнему придется расположить свое устройство (iPhone или Apple Watch) перед приемником для передачи данных через NFC соединение, как это сейчас делается для Square или Google Wallet, в авторизации транзакции отсутствует номер Вашей пластиковой карты, которая вместе с другой конфиденциальной информацией хранится во встроенной в смартфон ячейке Secure Element.

Для авторизации на месте, Apple Pay использует отпечаток пальца через Touch ID или «дедушкин» метод по PIN номеру.

Двухэтапный процесс по сути схож с системой chip-and-pin, повсеместно применяемой на пластиковых картах. Чип хранит в себе зашифрованную финансовую информацию и передает ее после подтверждения владельца на защищенный платежный терминал.

Весь процесс Apple Pay максимально упрощен и ускорен (если, конечно, покупатель не использует верификацию по PIN), что в некоторой степени уменьшает шанс вмешательства в процессе платежа. Secure Element, по своему замыслу, хранит персональные данные вне пределов досягаемости хакеров, не задействует серверы Apple, и компания даже не знает о том, на что пользователь тратит свои деньги.

Проще говоря, криптозащита при передаче информации и отсутствие финансовой идентификационной информации на серверах предположительно делают Apple Pay менее уязвимым, чем традиционные методы оплаты.

В случае утраты устройства, пользователь может дистанционно отключить Apple Pay с помощью Find My iPhone.

Все звучит здорово и привлекательно, но с какими проблемами пользователи могут столкнуться на практике?

Что плохого
Все хотят верить, что электронные кошельки безопаснее кожаных, но горькая правда жизни говорит о том, что Apple Pay (и не только он) будет постоянно являться объектом атаки со стороны хакеров. Принимая во внимание то, как «прославилась» многие знаменитости в начале месяца, очевидно, что Apple Pay будет очень популярен среди взломщиков.

Похоже, что Apple действительно проделала хорошую работу по сохранению системы вне досягаемости со стороны хакеров, исключив данные карт из процесса транзакций, что уже само по себе является неплохой идеей. Даже фраза «Secure Element» внушает уверенность. Однако специалисты Kaspersky Labs говорят о том, что есть ряд проблем, которые сразу бросаются в глаза.

Прежде всего, те несколько преград, которые компания установила между хакерами и финансовой информации владельца смартфона, могут быть сломаны. Apple Pay соединен с сервисом iTunes, который, как известно, имеет немало уязвимостей. То же самое касается и Touch ID, обман которого уже был неоднократно продемонстрирован на конкретных примерах. И несмотря на защиту с помощью Find My iPhone, риск потери/кражи телефона куда как более велик, чем таковой для пластиковой карты или кошелька.

«Самый плохой сценарий — кража и джайл-брейк телефона,» — говорит Дмитрий Бестужев из Kaspersky Labs.

Однако самым беспокоящим звеном при использовании Apple Pay по мнению Бестужева является канал NFC, по которому передается информация.

«[Устройство] передает и получает информацию, которая может быть перехвачена.»

И это тоже доказанный факт. Пару лет назад бывший аналитик NSA Чарли Миллер представил несколько действительно серьезных уязвимостей NFC, продемонстрировав, как можно взломать устройство с активированным NFC приемником/передатчиком с помощью NFC-метки.

Отметим сразу, что последнее — проблема не только Apple Pay, но и Google Wallet, Softcard и любой другой NFC платежной системы. И хотя Apple предприняла некоторые шаги по защите, включая использование уникального кода для каждой транзакции, это пока единственное, что можно сделать, если сама технология изначально уязвима.

Что не известно
Сегодня самым сомнительным моментом использования технологии Apple является то, что мы пока не знаем. Компания не вдается в подробности того, что происходит в ходе транзакций, поэтому пройдет еще какое-то время, прежде чем мы сможем сказать, насколько Apple Pay безопасен. А вот в чем можно не сомневаться, так это в том, что все это время хакеры не будут сидеть сложа руки.

Даже использование уникальных кодов Apple Pay не является панацеей — если преступники получат доступ к ним на Secure Element, возможность инициации неавторизованных транзакций сохраняется. Как это можно сделать? Наиболее вероятным методом Бестужев считают использование NFC скиммеров, аналогичных тем, что используются злоумышленниками на банкоматах.

«В конце концов речь идет о перехвате трафика, что уже применяется для других стандартов и протоколов.»

Пока говорить об этом, как о свершившемся, пока рано — многие детали все еще недоступны, но хакеры по всему миру будут искать все возможные пути.

Какой выход?
Горькая правда: хакеры и воры хотят украсть наши деньги и в этом ремесле они необычайно креативны. Хотя на первый взгляд Apple Pay выглядит наиболее безопасным из всех возможных вариантов, эксперты сходятся в одном: если данные передаются, их можно перехватить и использовать в сомнительных целях.

Хотите использовать невзламываемый метод? Попробуйте бумажные деньги. В этом отношении они в высшей степени безопасны и имеют свои преимущества. Но с другой стороны, их сохранность зависит от того, как плотно Ваш бумажник сидит в кармане, когда его пытаются вытащить. Так что выбор за Вами.

 

Share Button

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *