Bariery na drodze do bezpiecznych płatności mobilnych

Ireneusz Wiśniewski 05-08-2015, 15:04

Zanim płatności mobilne w pełni się upowszechnią, do rozwiązania pozostaje kilka kwestii związanych z ich bezpieczeństwem.

Polacy coraz bardziej przekonują się do kart płatniczych – w ostatnim kwartale ubiegłego roku przeprowadzili nimi blisko 740 mln operacji. Ich rosnącą popularność nad Wisłą można uzasadnić coraz większą powszechnością płatności zbliżeniowych i wygodą, jaką one dają.

Pod koniec 2014 roku aż trzy czwarte wszystkich transakcji bezgotówkowych dokonano za pomocą kart zbliżeniowych. Jednak to nie koniec innowacji w bankowości. Według prognoz rynek płatności mobilnych w najbliższych latach zacznie gwałtownie rosnąć. Być może przyczyni się do tego uruchomiony w tym roku przez kilka czołowych banków w Polsce mobilny system płatności BLIK oraz fakt, że do końca 2016 wszystkie terminale w kraju mają wspierać transakcje bezstykowe.

Dzięki uruchomieniu Apple Pay w Stanach Zjednoczonych, a ostatnio także w Wielkiej Brytanii, świat, w którym nie musimy szukać w naszych portfelach i torebkach karty płatniczej, staje się rzeczywistością. Stojąc w kolejce i tak zwykle trzymamy telefon w dłoni (byle tylko nie musieć rozmawiać z innymi klientami), więc wystarczy, że zbliżymy telefon do czytnika i możemy odejść, nie odrywając wzroku od ulubionej aplikacji. Jednakże zanim płatności mobilne staną się w pełni powszechne, do rozwiązania pozostaje jeszcze kilka kwestii bezpieczeństwa.

W przeciwieństwie do telefonów komórkowych, karty zbliżeniowe mają wiele wbudowanych zabezpieczeń. Szyfrowanie, bezpieczna komunikacja między kartą a terminalem, a także wiele innych funkcji daje pewność, że Twoje dane nie zostaną przejęte. Jednym z głównych zabezpieczeń jest Secure Cryptographic Element (SE), który jest wbudowany w chip na karcie. Gwarantuje on bezpieczeństwo danych właściciela karty podczas transakcji.

Apple vs. Android

Mając to na uwadze, Apple wbudowało Secure Element do iPhone’a 6 i 6+ oraz Apple Watch, które wspierają usługę Apple Pay. Według Apple w Secure Element token i jego kryptogram są „odizolowane od iOS, nigdy nie przechowywane na serwerach Apple Pay i nigdy nie przesyłane do iCloud. Ponieważ token ten jest unikalny i różny od typowego numeru karty kredytowej lub debetowej, Twój bank może zablokować próbę jego użycia przy płatności paskiem magnetycznym, przez telefon lub internet.”

Co się jednak dzieje w świecie Androida i Windowsa, w którym telefony są produkowane przez wiele różnych firm? Telefony te najczęściej nie posiadają SE, ponieważ każdy producent musiałby używać własnego rozwiązania, a to wiązałoby się z koniecznością dołączenia odpowiednich bibliotek w oprogramowaniu dla wszystkich modeli, co byłoby niezmiernie trudne.

Początkowo przedstawiano pomysł, aby używać kart SIM do weryfikacji płatności. W teorii było to bardzo dobre rozwiązanie. Wszyscy mają karty SIM mogące przechowywać klucze kryptograficzne, których mogłaby używać aplikacja w trakcie płatności. Przede wszystkim klucze mogłyby być odizolowane od systemu operacyjnego, a przez to także szkodliwego oprogramowania.

Niestety, właścicielami kart SIM są operatorzy komórkowi i to oni kontrolują ich dystrybucję oraz decydują, jakie oprogramowanie może być na nich zainstalowane. W czasach kiedy ich dochody spadają, operatorzy chcieli uzyskać dla siebie kawałek tortu płatności mobilnych. W rezultacie pomysł na płatności mobilne z wykorzystaniem karty SIM nigdy się nie przyjął, czego dowodem jest np. wygaszenie w tamtym roku projektu banku Barclays – Barclays Quick Tap.

Rozwiązanie? Google IT

Spójrzmy na Google, właściciela najpopularniejszego mobilnego systemu operacyjnego na świecie – Androida. Zaproponował on rozwiązanie problemu. Opracował system oparty na emulacji Secure Element na urządzeniu, które go fizycznie nie posiada. Nazywa się to HCE (Host Card Emulation) i sprawia, że telefon komórkowy zachowuje się jak inteligentna karta. Dzięki temu można użyć telefonu komórkowego np. do płatności w sklepie zamiast karty zbliżeniowej.

Na tej podstawie można by pomyśleć, że rozwiązanie Androida jest punktem zwrotnym, który sprawi, że płatności mobilne będą dostępne dla każdego, nie tylko posiadaczy telefonów firmy Apple. Jednakże, jeśli zagłębimy się w szczegóły, okaże się, że wcale tak być nie musi. Android jest powszechnie uważany za system mobilny o największej liczbie wirusów – w niedawnym badaniu firmy Symantec stwierdzono, że 1 na 5 aplikacji dla Androida zawiera szkodliwe oprogramowanie. Rozwiązanie HCE jest oparte na oprogramowaniu i jest dostępne z systemu operacyjnego poprzez wiele różnych wywołań API. Jeśli wyciągnęliśmy jakiekolwiek wnioski z ostatnich cyberataków, to przede wszystkim ten, że wszystko, co działa w oparciu o oprogramowanie, jest podatne na ataki.

Bank innowacyjności

Co więc można zrobić? Aktualnie odpowiedzialność za nieautoryzowane transakcje spoczywa na podmiocie wydającym kartę, najczęściej jest nim bank. W rezultacie banki starają się, aby użytkownicy korzystali z ich aplikacji i płacili bezpośrednio ze swojego konta, pomijając pośrednika.

Aby taka taktyka odniosła skutek, projektanci tych aplikacji muszą wziąć pod uwagę zarówno zachowanie użytkownika, jak i możliwości technologiczne – z powodów szczegółowo opisanych powyżej. Równie istotna jest identyfikacja pozapasmowa (out-of-band) oraz zastosowanie dodatkowych wskaźników automatycznie informujących o przeprowadzaniu podejrzanych transakcji, jednocześnie nie obniżając jakości użytkowania urządzenia. Dla przykładu, aplikacja do płatności mobilnych powinna być w stanie monitorować stan urządzenia oraz skanować go pod kątem złośliwego oprogramowania lub innego podejrzanego zachowania, które może manipulować procesem HCE, aby wykraść dane. Aplikacja powinna wtedy przesłać te informacje przez internet poza procesem płatności do wydawcy aplikacji. Tutaj ważność transakcji może być określona na podstawie historycznych wzorców użytkowania, metody „device fingerprinting” i tak dalej.

Niezależnie od wybranego sposobu lub rozwiązania, zaawansowane płatności mobilne to innowacja, w której należy sporą wagę przyłożyć do osiągnięcia pewności, że korzystanie z niej będzie bezpieczne.

Ireneusz Wiśniewski, F5 Networks


Komentarze
comments powered by Disqus
To warto przeczytać












  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2017 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.