Що таке samsung pay і як йдуть справи з безпекою - блог лабораторії Касперського
Зчитувач магнітної смуги вмонтований в усі наявні в світі термінали. І підтримка «магнітної технології» особливо актуальна для США, де впровадження більш сучасної технології EMV (картки з чіпом) серйозно затрималося. Само собою, Samsung Pay дозволяє платити і через NFC. Тобто ніби як це ті самі два зайці одним ударом - з Samsung Pay працюють і найстаріші термінали, і найновіші.
Нам на Kaspersky Daily не дуже цікаво брати участь у вічному холіваров Apple vs. Samsung. Але що нам цікаво, так це спробувати зрозуміти, наскільки безпечна платіжна платформа від Samsung. Не сказати щоб на тему MST зокрема або Samsung Pay в цілому була маса досліджень, тому ми подивилися, що розповідає про свою технологію її безпосередній розробник - компанія LoopPay.
Що нам вже відомо про безпеку майбутньої платформи #SamsungPay?
Власне, MST передає безконтактним способом дані магнітної смуги карти таким чином, щоб термінал думав, що він зчитує карту. Діапазон дії становить близько трьох дюймів, тобто близько 7-8 сантиметрів. Змінне магнітне поле створюється тільки тоді, коли користувач ініціював оплату.
Поки не дуже зрозуміло, передбачили розробники якісь додаткові заходи безпеки в порівнянні зі звичайними для карт із магнітною смугою. Але можна досить впевнено припустити, що немає - для цього довелося б якось модифікувати і платіжні термінали, а вся ідея полягає саме в тому, щоб забезпечити сумісність із стародавньою технологією без додаткових вкладень.
Всередині програми LoopPay користувач може управляти генерацією магнітного поля: воно може бути включено завжди або завжди відключено, включено на 10 хвилин (цього достатньо для однієї транзакції), на вісім годин або на довільний період часу.
Достеменно відомо лише одне: оплату можна буде ініціювати через додаток буквально одним жестом. У користувача буде можливість вибрати конкретну карту з набору прив'язаних до гаманця Samsung Pay. Для аутентифікації буде використовуватися відбиток пальця. Більш цікаво з точки зору безпеки, що захист платіжної платформи забезпечує Samsung Knox.
Не дуже зрозуміло, як на перспективи даної технології, яку належить мати зчитувач магнітної смуги, вплине майбутня інтеграція карт з чіпом (стандарт EMV). На цю тему на сайті LoopPay є навіть окремий розділ в поширених питаннях. Компанія вважає, що MST не менше безпечна, ніж картки з чіпом. Правда, не зовсім зрозуміло, що дозволяє компанії так думати - картки з чіпом тому і придумали, що магнітна смуга надзвичайно вразлива.
Якщо Samsung не збирається підтримувати EMV в Samsung Pay, то все, що вони роблять, - це тягнуть в майбутнє давню і небезпечну «магнітну» технологію
Якщо Samsung не збирається підтримувати EMV в своїй платформі Samsung Pay, то все, що вони роблять, - це намагаються затягнути в майбутнє давню і небезпечну «магнітну» технологію. Крім усього іншого MST може стати однією з перешкод на шляху всесвітнього впровадження EMV - ще одна причина не позбуватися від старої недоброї магнітної смуги і терміналів, які з нею працюють.
Ще один сумнівний з точки зору безпеки момент пов'язаний з конкретною реалізацією платежів. Уразливості є скрізь - від операційних систем до підключених домашніх пристроїв. Samsung Pay також навряд чи стане винятком. Само собою, нам доведеться почекати того моменту, коли платформа буде офіційно запущена в Південній Кореї і США (це стартові країни) і дослідники безпеки займуться своєю улюбленою справою - полюванням на баги. Зрозуміло, ми обов'язково вам про це розповімо.
Також слід пам'ятати про те, що Android - відкрита і надзвичайно популярна операційна система, яка займає на даний момент 76,6% ринку мобільних пристроїв. З цих двох причин Android дуже популярний серед кіберзлочинців, і платформа Samsung Pay також ризикує потрапити в топ-лист у поганих хлопців, що займаються електронним шахрайством. За прикладом тут далеко ходити не треба - буквально пару тижнів тому ми вже Новомосковсклі в новинах про використання в шахрайських цілях платформи Apple Pay.