Стоит ли доверять платежной системе Apple?

Мнение специалиста лаборатории Касперского

Прошедшая в Калифорнии презентация новых смартфонов и смарт-часов Apple традиционно разделила основную часть наблюдателей на несколько противоборствующих лагерей под привычными знаменами «Apple уже не тот», «Мы все это уже видели на Android» и «Shut up and take my money!» и на много недель вперед обеспечила интернет поводами для споров и обсуждений. Мы же постарались абстрагироваться от всего этого, забыть про новые процессоры и диагонали экранов и взглянуть на новинки исключительно с точки зрения информационной безопасности, тем более, что повод на этот раз самый что ни на есть достойный: Apple наконец-то анонсировала свою собственную платежную систему Apple Pay, работающую в связке с NFC-чипом и сенсором Touch ID. А это означает, что в скором времени злоумышленники будут охотиться уже не за вашими фотографиями и личными данными, а за вашими деньгами.

Apple Pay (да, теперь, судя по всему, «i» в названиях новых продуктов встречаться не будет) — это система мобильных платежей, объединяющая в себе не только принцип передачи и получения платежной информации, но и несколько технологических решений. Сюда входит и пресловутый NFC-чип, встроенный в новые iPhone и Apple Watch, и дактилоскопический датчик Touch ID, и приложение Passbook, появившееся еще два года назад в шестой версии iOS.

Если верить презентации, оплата в офлайне при помощи Apple Pay будет осуществляться так же, как это происходит сейчас с пластиковыми картами PayPass и PayWave: достаточно на пару мгновений поднести содержащий NFC-чип предмет к платежному терминалу и подтвердить покупку. В случае с картами подтверждением выступает PIN-код, владельцам iPhone 6/6+ придется приложить пальчик к сканеру Touch ID, а обладателям смарт-часов достаточно будет просто взмахнуть запястьем рядом с терминалом. Однако в отличие от бесконтактных пластиковых карт, в основе Apple Pay лежит несколько более совершенный и безопасный механизм обмена данными.

Устроен он, впрочем, довольно просто и понятно. Владелец банковской карты сканирует ее при помощи смартфона, занося таким образом информацию о карте в приложение Passbook, после чего данные шифруются, а на их основе генерируется специальный токен — уникальный код, привязанный к конретной карте и конкретному же устройству. Именно этот код, хранящийся в отдельном чипе, используется в качестве платежной информации при совершении покупки посредством Apple Pay как в онлайне, так и в офлайне.

Такой подход удобен и безопасен по двум причинам. Во-первых, ни магазин, в котором совершается покупка, ни мошенники, теоретически способные перехватить транзакцию, не получат при оплате доступ к реальным данным кредитки: при самом удачном раскладе случае это будет лишь уникальный токен. Во-вторых, даже в случае компрометации токен не будет представлять никакой ценности и не сможет быть использован для оплаты чего-либо в отрыве от определенного девайса, который, в свою очередь, даже будучи украденным, не инициирует оплату без подтверждения отпечатком пальца или, вероятно, PIN-кода. В любом случае, потерянное или украденное устройство всегда можно оперативно заблокировать при помощи сервиса Find My iPhone, попутно удалив из памяти все платежные данные.

Действительно ли безопасна такая система? Эксперт «Лаборатории Касперского» Дмитрий Бестужев считает, что не всегда: «Сенсор Touch ID не всегда работает корректно, поэтому Apple реализовала возможность ввода PIN-кода. Именно этот нюанс и может быть использован злоумышленниками». Кстати, учитывая тот факт, что при оплате с помощью часов Apple Watch подтверждение отпечатком не требуется вовсе, вопрос безопасности встает еще более остро.

Еще одно опасение вызывает принцип хранения исходных данных банковских карточек. Как известно, практически вся информация, хранящаяся в памяти iOS-устройств, может автоматически синхронизироваться с другими девайсами. Причем речь с недавних пор идет не только об относительно безобидных фотографиях и закладках браузера, но и о паролях, хранящихся в приложении Keychain. Если данные кредиток будут «расшариваться» между устройствами таким же образом, то шансы потерять деньги автоматически возрастают. Кроме того, никто не отменял и несанкционированный доступ непосредственно в Passbook: получив в свое распоряжение смартфон, у преступника появляется шанс вскрыть содержимое приложения и добраться до нужных данных.

В общем, механизм работы Apple Pay выглядит достаточно надежным и безопасным, однако тот факт, что данные кредиток будут храниться в самом смартфоне (а может быть еще и в «облаке») вызывает вполне обоснованные опасения. Впрочем, хочется верить, что Apple и здесь предусмотрела защитные механизмы. Так это или нет, мы узнаем совсем скоро: Apple Pay начнет функционировать в США уже в октябре этого года.

источник blog.kaspersky.ru