Чем опасен apple pay
Платить Apple Pay в интернете оказалось небезопасно
В представлении Apple нет более безопасного способа оплаты, чем Apple Pay. Благодаря тому, что каждая транзакция не содержит данных платежной карты пользователя, его имени и другой конфиденциальной информации, которые заменяются уникальным токеном, взломать банковский аккаунт становится чрезвычайно сложно. Ну, по крайней мере, если речь идет об использовании iPhone или Apple Watch, а вот веб-версия Apple Pay оказалась уязвима настолько, что эксперты посоветовали клиентам Apple пользоваться ей с особой осторожностью.
По словам исследователя в области кибербезопасности Джошуа Мэддока, ему удалось выяснить, что кнопка Apple Pay, которая используется на веб-сайтах для оплаты покупок, не так безопасна, как кажется. Уязвимость кроется в системе установки соединения между сайтом и серверами Apple. Она позволяет подменить адрес, куда отправляются данные о транзакции, которые хоть и находятся в зашифрованном виде, все-таки содержат некоторые сведения, позволяющие вычислить покупателя.
В результате сам владелец сайта или посторонний злоумышленник, который смог взломать сайт, может внести изменения в систему пересылки данных и получать сведения о новых транзакциях. А, накопив достаточно информации, ничто не мешает злоумышленнику банально начать продавать ее. Не исключено, что еще более находчивые хакеры найдут способ расшифровать полученные сведения и воспользоваться ими в личных целях.
Кто виноват в утечках Apple Pay
Несмотря на критический характер уязвимости, вина за его существование лежит не на Apple, уточняет Мэддок. По его словам, проблема проистекает из слабой защищенности сайтов, которые размещают у себя кнопки Apple Pay. От этой уязвимости уже пострадали несколько крупных банков, в числе которых банковский холдинг Capital One. В то же время Google Pay предоставляет хакерам значительно меньше возможностей для взлома, чем Apple Pay, поскольку задействует другой тип обмена данными между сайтом и своими серверами.
Как бы там ни было, Apple следует принять серьезные меры по усовершенствованию безопасности Apple Pay, даже если изначальная вина за уязвимость лежит не на ней. Ведь пользователям нет дела до того, кто виновен в утечке их данных, им важен сам факт. Если сервис, которым они привыкли пользоваться, может слить их данные посторонним, многие наверняка задумаются о том, чтобы отказаться от его дальнейшего использования. А это уже отразится на Apple самым негативным образом, дискредитировав её как поставщика самой надежной системы оплаты.
Подписка на наш канал в Яндекс.Дзен строго обязательна. Подпишись, а то пожалеешь.
ApplePay и безопасность. Как она есть.
Давайте сегодня немного поговорим о безопасности? Безопасности ваших денег с точки зрения «у меня есть ойфон и я плачу им». Почему вообще возник этот вопрос? Все просто – вот клиент и он рассказывает нам как его кинул банк и как же он несчастен по этому поводу. Почему клиент врет? Сейчас расскажу.
Мы видим страшную историю, со слов клиента и слов банка. Итак – у клиента украли ойфон, из-за установленного на нем приложения Тинькофф МП привязали его карту к ApplePay и оплатили ей несколько покупок. Разумеется, с точки зрения клиента банк виноват, но вот в чем? Давайте посмотрим, что должен сделать клиент и предполагаемый мошенник для проведения такой операции?
Итак, украден телефон. Ойфон 7 с установленным приложением банка. После чего вор привязывает карту к ApplePay и оплачивает с ее помощью покупку на 8999.9 UAH это все, что нам надо знать для начала. Дальше – разбор ситуации:
1. Все мы знаем, что у ойфонов используется два способа разблокировки. Первый – по отпечатку пальца, второй (для 7) по коду состоящему из 6 цифр. У автора палец не отрубали, иначе он об этом написал бы. Как следствие – вор должен подобрать код из 6 цифр. Просто ли это сделать? Нет! После 5 неверного кода телефон ставит паузу в 1 минуту дня набора следующего, после 6 неверного кода в 5 минут, после 7 неверного кода в 1 час. Правда телефон можно перезагрузить. Это занимает минуту. Итак, для подбора кода из 999999 вариантов вам потребуется пусть не 499999 минут, а в десять раз меньше 49999 минут, это более одного месяца! Только что мы выяснили, что либо клиент передал вору код, либо вор умудрился угадать его за короткое время, что невозможно, месяца на подбор у вора не было.
2. Для разблокировки МП банка требуется так же палец (который не отрубили), либо 4-х значный код. Казалось бы, что проще, подобрать код из 4 цифр? Но – опять нет! Неверный код можно ввести 3 раза, после чего приложение забывает о коде и требует пару логин/пароль. Как следствие, либо вору передали этот код, либо он настолько удачлив, что угадал его с 3 раз. Такого просто не бывает. Если вор обладает такой удачливостью он давно украл миллиарды у ЦБ и ему не нужны карты. Но, продолжаем.
3. Если сумма платежа превышает 200 гривен (по некоторым данным 500) она требует подтверждения по PIN. И это верно в том числе для операций по ApplePay. То есть на нашу операцию покупки в 8999 гравен сделанную в терминале у клиента должен быть запрошен тот самый PIN. Что еще интересней, даже если карта у клиента с приоритетом подписи, при ApplePay PIN все равно запросит. И тут опять же, с первого раза угадать 4 знака? Неверно в настоящее время и не поддерживается большинством банков.
4. Как мы помним, у нас тут упоминается ойфон? А у него есть такая штука как режим пропажи. В этом случае разблокировать телефон можно только с помощью логина/пароля. При этом телефон передает месторасположение. Но – воспользоваться на нем картами, тем же ApplePay просто невозможно. Клиент этого не сделал, хотя и мог, он же говорит, что режим отслеживания включен. Почему? Выводы чуть дальше.
Итак, выводы. Если мы посмотрим на наше разбирательство, то поймем, что внезапно(!) оплата с помощью телефона даже более безопасна чем оплата с помощью карты с PayPass. У вас есть либо запрос отпечатка, либо 6-тизначный код, для операций до 1000 рублей (у карты вообще ничего не требует), либо PIN и отпечаток с 6-тизначным кодом когда карта требует только PIN. Для привязки карты к телефону вам потребуются либо реквизиты карты и код 3DS из SMS, либо отпечаток и 4-хзначный код для доступа в МП, что тоже надо умудрится потерять.
PS. Ах да, тут был вопрос – нафига клиенту так палиться? Я боюсь, что клиент просто не знает ничего из вышеперечисленного. Ни как работают коды, ни о количестве попыток подбора. Более того, клиент считает, что ApplePay это дубликат карты и надеялся, что при оплате через телефон, когда оригинал карты на руках банк подумает, что кто-то сумел сделать клон чипа PayPass. Неа, банк для ApplePay выпускает виртуалку которую вы не видите от слова вообще и четко понимает как, когда и кто ее привязал.
7 причин не бояться платить через Apple Pay в России
В начале октября на территории России заработала платежная система Apple Pay. Но многие боятся ей пользоваться или пока ещё даже не пробовали.
Сейчас объясним, почему Apple Pay – это безопасно. И как попробовать сервис бесплатно, даже если у тебя ещё нет пластиковой карты. В качестве примера будем использовать карту банка Рокетбанк, который подключился к Apple Pay как раз сегодня.
Как вообще работает Apple Pay в двух словах
Грузить алгоритмами шифрования и различными степенями защиты рядового пользователя, как минимум глупо. Самый популярный вопрос со стороны тех, кто впервые услышал об Apple Pay: «Как она, собственно, работает»?
Вот список устройств, с которыми Apple Pay совместима:
А ещё нужна карта, которая официально поддерживает оплату с помощью Apple Pay.
Итак, вы пришли в магазин, приобрели товары и на терминале увидели значок, указывающий на поддержку Apple Pay. Что теперь делать?
При оплате с iPhone: поднесите смартфон к терминалу и коснитесь сенсора Touch ID. Оплата будет осуществлена в течение пары секунд.
При оплате с Apple Watch: дважды коснитесь клавиши Назад на часах и поверните устройство к терминалу. Оплата будет тут же выполнена.
Подробную инструкцию по настройке Apple Pay вы найдете тут, а мы разберемся с вопросами безопасности, которые так волнуют противников данной платежной системы.
Опасение 1. Всплывут данные моей карты
Особенность платежной системы Apple Pay в том, что вы никогда не «светите» конкретные данные карты, например, её номер или PIN-код. Всё это в зашифрованном виде хранится в памяти iPhone и Apple Watch.
Взлому эти данные не поддаются, как и сами устройства, но об этом ниже.
Опасение 2. Мой пин-код можно подсмотреть
При оплате с помощью Apple Pay ваш пин-код — это отпечаток вашего пальца. Сложный и уникальный рисунок, заполучить который могут только спецслужбы. На самом деле намного проще подсмотреть пароль от карты при вводе в банкомате.
Опасение 3. Я потерял (у меня украли) Apple Watch и теперь моя карта в опасности
Apple предусмотрела возможность работы с Apple Pay без использования iPhone. Т.е. вы можете расплачиваться с помощью Apple Watch даже в том случае, если забыли смартфон дома.
Обязательным условием работы Apple Pay на Apple Watch является установка числового пароля (выполнить этом можно, перейдя в Настройки —> Код и указав любую комбинацию цифр).
Для оплаты с помощью Apple Watch необходимо будет повторно ввести цифровой пароль. Если его не знаешь, никакой покупки не получится.
Опасение 4. Я потерял (у меня украли) iPhone с настроенным Apple Pay
Apple Pay не будет работать, если вы не включите сканер отпечатков пальцев Touch ID и предварительно не настроите его работы в меню Настройки —> Touch ID. Отсюда следует, что получить доступ к вашему смартфону злоумышленник попросту не сможет.
Процесс оплаты через сервис Apple Pay подвязан исключительно на сканировании отпечатка пальца. При оплате на сумму более 1000 рублей может потребоваться дополнительный ввод пароля, но только после сканирования отпечатка пальца.
Наконец, Apple Pay можно удаленно отключить через сервис Найти iPhone.
Опасение 5. Apple будет знать все о моей карте
Вы пользуетесь App Store? Загружаете приложения, осуществляете внутриигровые покупки, оплачиваете дополнительно место в облачном хранилище iCloud? Есть ли смысл беспокоиться за Apple Pay, когда ваша карта и так прикреплена к учетной записи? Полагаю, нет.
Опасение 6. Сторонние приложения украдут доступ к Apple Pay
Мало того, что в магазине App Store очень жесткие цензоры, которые отказывают в публикации подозрительных приложений, так еще и сама iOS не допускает установку программ из внешних источников. Одним словом, это невозможно.
Опасение 7. Скрытые комиссии
Сегодня при оплате банковской картой через терминал банки не берут комиссию. В платежной системе Apple Pay все точно так же.
Apple официально заявила: пользователь платит ту сумму, которую видит на ценнике. Дальше банки, магазин и сама Apple разберутся между собой.
Тут важно другое. Правильно выбери, какую карту привязать для Apple Pay – ведь за каждую покупку ты можешь получать что-то приятное. Например,
С картой от Рокетбанка будешь получать кэшбек до 10%, помимо ещё 8% на остаток.
То есть каждый раз, когда что-то покупаешь с айфона, будешь получать часть денег назад – удобно и здорово.
Apple Pay — безопасна? Да!
Не бойся использовать платёжную систему Apple. Она ничуть не хуже обычной оплаты картой, а во многом даже лучше.
А если ты совсем параноик, и тебя доводы выше не убедили, просто открой отдельную карту для Apple Pay. И установи на ней лимит транзакций – так можно сделать в любом нормальном банке.
P.S.: хочешь попробовать Apple Pay бесплатно? Установи приложение Рокетбанка и закажи через него банковскую карту. Она совместима с платёжной системой Apple, но главное – её выпуск, доставка и обслуживание совершенно халявные.
На все покупки начисляется кэшбек до 10%, на остаток счёта до 8%, а начисления по депозитам – 10% годовых. А карта была и есть бесплатная – точно стоит попробовать.
Apple Pay: безопасно ли платить айфоном?
9 сентября компания Apple представила миру несколько новых устройств, а также свою собственную платежную систему, работающую в связке с NFC, Touch ID и банковскими карточками. Мы попытались разобраться в том, как это все работает, что нам сулит и хорошо ли оно защищено.
Прошедшая в Калифорнии презентация новых смартфонов и смарт-часов Apple традиционно разделила основную часть наблюдателей на несколько противоборствующих лагерей под привычными знаменами «Apple уже не та», «Мы все это уже видели на Android» и «Shut up and take my money!» и на много недель вперед обеспечила Интернет поводами для споров и обсуждений. Мы же постарались абстрагироваться от всего этого, забыть про новые процессоры и диагонали экранов и взглянуть на новинки исключительно с точки зрения информационной безопасности, тем более что повод на этот раз самый что ни на есть достойный: Apple наконец-то анонсировала свою собственную платежную систему Apple Pay, работающую в связке с NFC-чипом и сенсором Touch ID. А это означает, что в скором времени злоумышленники будут охотиться уже не за вашими фотографиями и личными данными, а за вашими деньгами.
Apple Pay (да, теперь, судя по всему, «i» в названиях новых продуктов встречаться не будет) — это система мобильных платежей, объединяющая не только принцип передачи и получения платежной информации, но и несколько технологических решений. Сюда входят и пресловутый NFC-чип, встроенный в новые iPhone и Apple Watch, и дактилоскопический датчик Touch ID, и приложение Passbook, появившееся еще два года назад в шестой версии iOS.
Если верить презентации, оплата в офлайне при помощи Apple Pay будет осуществляться так же, как это происходит сейчас с пластиковыми картами PayPass и PayWave: достаточно на пару мгновений поднести содержащий NFC-чип предмет к платежному терминалу и подтвердить покупку. В случае с картами подтверждением выступает PIN-код, владельцам iPhone 6/6+ придется приложить пальчик к сканеру Touch ID, а обладателям смарт-часов достаточно будет просто взмахнуть запястьем рядом с терминалом. Однако, в отличие от бесконтактных пластиковых карт, в основе Apple Pay лежит несколько более совершенный и безопасный механизм обмена данными.
Устроен он, впрочем, довольно просто и понятно. Владелец банковской карты сканирует ее при помощи смартфона, занося таким образом информацию о карте в приложение Passbook, после чего данные шифруются, а на их основе генерируется специальный токен — уникальный код, привязанный к конкретной карте и конкретному же устройству. Именно этот код, хранящийся в отдельном чипе, используется в качестве платежной информации при совершении покупки посредством Apple Pay как в онлайне, так и в офлайне.
Такой подход удобен и безопасен по двум причинам. Во-первых, ни магазин, в котором совершается покупка, ни мошенники, теоретически способные перехватить транзакцию, не получат при оплате доступ к реальным данным кредитки: при самом удачном раскладе это будет лишь уникальный токен. Во-вторых, даже в случае компрометации токен не будет представлять никакой ценности и не сможет быть использован для оплаты чего-либо в отрыве от определенного девайса, который, в свою очередь, даже будучи украденным, не инициирует оплату без подтверждения отпечатком пальца или, вероятно, PIN-кодом. В любом случае потерянное или украденное устройство всегда можно оперативно заблокировать при помощи сервиса Find My iPhone, попутно удалив из памяти все платежные данные.
Действительно ли безопасна такая система? Эксперт «Лаборатории Касперского» Дмитрий Бестужев считает, что не всегда: «Сенсор Touch ID не всегда работает корректно, поэтому Apple реализовала возможность ввода PIN-кода. Именно этот нюанс и может быть использован злоумышленниками». Кстати, учитывая тот факт, что при оплате с помощью часов Apple Watch подтверждение отпечатком не требуется вовсе, вопрос безопасности встает еще более остро.
Стоит ли доверять платежной системе Apple, основанной на не всегда работающем сканере отпечатков?
В общем, механизм работы Apple Pay выглядит достаточно надежным и безопасным, однако тот факт, что данные для платежа будут храниться в смартфоне (а может быть, еще и в «облаке»), вызывает вполне обоснованные опасения. Впрочем, хочется верить, что Apple предусмотрела эффективные защитные механизмы. Так это или нет, мы узнаем совсем скоро: Apple Pay начнет функционировать в США уже в октябре этого года и наверняка сразу попадет под микроскоп хакеров всех мастей.
Безопасность Apple Pay – гарантии защиты данных
Apple Pay — приложение, позволяющее оплачивать покупки через терминал безналичной оплаты при помощи iPhone или Apple Watch. Технология была представлена корпорацией на выставке новинок, одновременно с презентацией шестого поколения смартфонов. Система начала работать 20 октября 2014 года. С момента первой презентации и до сегодняшнего дня безопасность Apple Pay вызывает вопросы – пользователей волнует защищенности транзакций и средств.
Как работает система?
Система представлена в устройствах в виде приложения. Оно позволяет отсканировать банковскую карту при помощи камеры. Приложение сохраняет данные и позволяет быстро оплачивать покупки на терминале при помощи смартфона или часов. Привязать можно несколько карт, которые будут отображаться в приложении Wallet.
Для успешной работы требуется гаджет с чипом NFC (технология бесконтактных платежей с малым радиусом действия) и терминал с поддержкой Apple Pay (помечаются характерным символом). Платеж подтверждается прикосновением к датчику отпечатка пальца на телефоне; на часах — двойным нажатием.
Cистема совместима со всеми международными считывателями, работает в большинстве зарубежных торговых сетей и заведений общепита.
Безопасна ли технология?
Простой принцип работы породил множество сомнений в безопасности Эпл Пей. Во многом это объясняется приравниванием системы к бесконтактным банковским картам. Подобное сравнение ошибочно — несмотря на аналогичный метод оплаты, осуществление хранения и передачи данных в корне отличается.
Главная особенность — каждая операция требует подтверждения владельца. Платеж происходит только после передачи токена, который обновляется после каждой транзакции.
В отличие от PayPass, лимита минимальной суммы платежа без подтверждения не существует.
Отсюда — полная гарантия защиты от случайных считываний и хищения денег с помощью терминала.
Наиболее частые опасения
Существует несколько самых распространенных заблуждений о безопасности Apple Pay. Их связывают со стандартными проблемами, с которыми сталкиваются владельцы карт — утеря самого пластика либо данных (PIN, CVV, номер).
Станут известны данные карты
Резонный вопрос о сохранности данных обусловлен громкими скандалами, связанными со взломом iCloud или нахождением общей уязвимости в серии устройств. Реквизиты же хранятся не в облаке или на сервере — они зашифрованы в самом устройстве. Несколько фактов:
Вывод — получить реальные данные любому постороннему лицу почти невозможно.
Узнают пин-код
Другое опасение — подсмотренный PIN код карты. Apple Pay позволяет подтверждать платеж без его использования.
Простое решение позволило системе избавиться от одной из главных уязвимостей банковских карт. Код не отображается и не используется при покупках — следовательно, подсмотреть его не удастся.
Утеря устройства
При потере гаджета средства владельца не оказываются под угрозой. Он может быстро заблокировать устройство с помощью специального приложения — Find iPhone, а также удалить карты и историю транзакций из системы.
Если защищенность системы продолжает вызывать сомнения, достаточно ограничить возможности Apple Pay на гаджете. Например, завести отдельную карту для приложения, установив лимит транзакции.
Главный рубеж защиты — обязательное подтверждение оплаты отпечатком пальца. Даже если сам телефон разблокируется паролем, совершить с его помощью покупку не удастся. Поэтому о деньгах на сохраненных в приложении картах можно не беспокоиться.
Скачивание данных
Благодаря тому, что реквизиты не хранятся в облаке, скачать их не удастся. Получить при помощи отдельной программы тоже проблематично. Самостоятельно, в обход Apple Store, обычный пользователь их установить не сможет из-за ограничений системы. Сам же магазин приложений отличается наиболее строгой проверкой среди аналогичных систем — подозрительный функционал моментально отклоняется цензорами.
При оплате на сайтах Safari отсутствует привязка к учетной записи пользователя.
Авторизация не требуется — покупки также совершаются при помощи прикосновения или ввода пароля.
Снятие комиссии
Комиссия в системе действительно присутствует, однако пользователя она никак не затрагивает. Процент с каждой транзакции разработчик берет с банков и платежных систем. Они же ежегодно оплачивают поддержку технологии.
Выводы
Все аспекты дают однозначный и положительный ответ на вопрос о том, безопасна ли Apple Pay. Технология совмещает в себе главные требования к бесконтактной оплате.
Apple удалось создать современную, технологичную и защищенную систему. При этом компания продолжает совершенствовать алгоритмы безопасности и добавлять новые возможности — например, Apple Pay Cash. С помощью сервиса пользователи переводят деньги через приложение сообщениями iMessage. Это открывает полный функционал для операций с безналичными деньгами — полностью безопасные переводы и оплата с добавленных в Apple Pay карт.