Portfel w jabłku – analiza bezpieczeństwa Apple Pay w polskim systemie płatności

dodał 10 maja 2018 o 07:58 w kategorii Info, Mobilne, Prywatność  z tagami:
Portfel w jabłku – analiza bezpieczeństwa Apple Pay w polskim systemie płatności

Czekaliście, czekaliście i się doczekaliście. Polscy użytkownicy telefonów Apple mogą poczuć się docenieni. Usługi płatności telefonem Apple Pay będą wkrótce dostępne na naszym rynku.

Pod koniec kwietnia media poinformowały, iż w Polsce będzie dostępna możliwość dokonywania płatności Apple Pay. Kilka czołowych banków (wymienia się WBK, mBank oraz trzy inne) postanowiło pozytywnie zareagować na możliwość rozszerzenia oferty o płatności mobilne na platformie Apple. Możliwe, że już od połowy czerwca klienci wybranych banków będą mogli płacić swoimi „jabłkowymi” telefonami niemal jak kartą kredytową.

Postanowiliśmy się przyjrzeć, w jaki sposób działa taki elektroniczny portfel w telefonie oraz jakie zagrożenia czekają na użytkownika tej usługi.

Jak to działa

Do działania usługa potrzebuje interfejsu NFC (Near Field Communication) oraz technologii Touch ID lub Face ID. Chcąc korzystać z aplikacji, należy zarejestrować kartę kredytową (ew. płatniczą, debetową). Należy dodać kartę do aplikacji Apple Wallet. Można to zrobić ze swojego konta iTunes, wprowadzić dane ręcznie lub zrobić zdjęcie karty i wprowadzić je do aplikacji. Jest to najbardziej niebezpieczny i podatny na nadużycia moment, gdyż w istocie to jedyny etap, w którym w użyciu są dane naszej karty kredytowej.

źródło: https://www.youtube.com/watch?v=DnsbgGoh334

Dla każdej dodanej karty dedykowany układ wewnątrz urządzenia (tzw. Secure Element) przypisuje, szyfruje oraz przechowuje unikalny numer DAN (Device Account Number). Secure Element jest odseparowanym układem scalonym zaprojektowanym zgodnie ze standardem przemysłowym, przeznaczonym do bezpiecznego przetwarzania danych. Został on opracowany z myślą o bezpieczeństwie transakcji finansowych. Numer ten wraz z kilkoma informacjami (tj. klucz służący generacji unikalnych kodów dla każdej transakcji) wysyłany jest do Apple. Rzeczywisty numer karty nie jest przechowywany ani transmitowany.

W trakcie transakcji finansowej wykorzystywany jest numer DAN, który jest wysyłany poprzez terminal płatniczy POS i sieć płatniczą. By móc dokonać płatności i użyć numeru DAN, użytkownik musi odblokować do niego dostęp, autoryzując transakcję (w najprostszym przypadku za pomocą odcisku palca w rozwiązaniu TouchID). Do tworzenia 16-cyfrowego kodu – tokenu DAN – Apple skorzystał z uznanego przez środowisko bankowe standardu EMV. Twórcy rozwiązania podkreślają, iż przechowywany token nie może być przetworzony tak, by odzyskać wprost z niego rzeczywisty numer karty kredytowej. Powiązanie z właściwą kartą realizowane jest pomiędzy siecią obsługującą płatności kartami a bankiem – wystawcą kart. Odbywa się to w zaciszu bankowych systemów transakcyjnych i nie jest w żaden sposób widoczne dla uczestników transakcji płatniczej.

źródło: http://mobilepaymentux.com/meet-apple-pay/

Apple Pay działa na takich urządzeniach, jak iPhone 6 oraz iPhone 6 Plus i kolejne modele iPhone’a, iPad Pro, iPad Air 2 lub iPad mini 3 i późniejsze, a także Apple Watch.

Warto zwrócić uwagę na kilka właściwości takiego rozwiązania:

  1. Dane karty kredytowej nie są przechowywane w urządzeniu ani na serwerach Apple (lub operatora usługi). W tym kontekście dane karty nie są udostępniane ani przekazywane sprzedawcom lub innym stronom zaangażowanym w proces płatności.
  2. Apple bądź operator usługi nie posiada informacji o transakcjach. Użytkownik może sprawdzić kilka ostatnich transakcji w swoim e-portfelu, jednak są one dostępne tylko w urządzeniu (iPhone lub iWatch).
  3. Apple nie gromadzi informacji o operacjach w usłudze, nie śledzi i nie profiluje swoich użytkowników. Jednoznacznie określa się zasady dotyczące zachowania prywatności.

Bezpieczeństwo rozwiązania

Zagrożenia usługi i atak na nią ma dwa główne wymiary: atak na urządzenie i aplikację oraz atak na warstwę sieciową komunikacji. Analizując bezpieczeństwo Apple Pay, trzeba wziąć pod uwagę trzy główne ryzyka, które mogą prowadzić do nadużyć i w rzeczywistości do strat finansowych użytkownika.

  1. Utrata telefonu (zgubienie lub kradzież) i dostęp do portfela przez osoby nieupoważnione. Nie należy porównywać utraty telefonu do utraty karty kredytowej. Telefon sam w sobie nie zawiera numerów karty kredytowej, a użycie go do wykonania płatności jest uzależnione od uwierzytelnienia się właściciela. Ryzyko jest zależne od możliwości „siłowego” otwarcia e-portfela w telefonie. Jednakże przy obecnie stosowanych metodach uwierzytelniania, opartych o rzetelną biometrię (rozumie się przez to dobrą implementację odczytu rzeczywistych cech biometrycznych), metodę uznaje się za najbardziej bezpieczną z dostępnych. Oczywiście znane są przypadki pokonania zabezpieczeń TouchID, jednak są to działania na poziomie doświadczeń laboratoryjnych. Z tego powodu zalecane jest stosowanie dwuskładnikowego uwierzytelnienia – połączenie tradycyjnego PIN-u oraz biometrii (odcisk palca lub rozpoznawanie twarzy).
  2. Podszycie się przez przestępców (spoofowanie) w momencie rejestracji portfela. Cyberprzestępcy, którzy przyczaili się w sieci, do której podłączony jest telefon, mogą podszyć się pod system rejestracji e-portfela w trakcie procesu rejestracji. Może to pozwolić im na podszywanie się pod e-portfel. Nadużycie to możliwe jest do wykonania tylko w momencie rejestracji karty. Ryzyko to eliminuje się bądź znacząco minimalizuje poprzez korzystanie z zaufanych sieci (unikanie otwartych lub nieznanych sieci Wi-Fi, używanie połączeń VPN).
  3. Infekcja telefonu przez złośliwe oprogramowanie. Jeżeli na telefonie został zainstalowany złośliwy kod, to w zasadzie można uznać, że wszystkie informacje i operacje, jakie wykonujemy na telefonie mogą zostać przejęte przez cyberprzestępców. W zależności od rodzaju złośliwego oprogramowania może ono wykradać dane lub rejestrować każdy wprowadzony znak. Taki program może zarejestrować i wykraść dane karty kredytowej (podczas procesu rejestracji karty), jak również ominąć metody uwierzytelniania i dać przestępcy dostęp (nawet zdalny) do portfela bez uwierzytelnienia. Niemniej wykorzystanie e-portfela jest możliwe tylko z wykorzystaniem połączenia NFC w komunikacji z terminalem płatniczym, co znacząco ogranicza możliwości ataku złośliwego oprogramowania na samą metodę płatności. Dodatkowo trzeba przyznać, iż infekcja telefonu tego producenta przez złośliwe oprogramowanie, choć nie jest wykluczona, jest mało prawdopodobna (i to nie tylko dlatego, że na iOS nawet wirusy są płatne).

Opisane powyżej ryzyka uznaje się za bardzo niskie, a samą usługę za jedną z bardziej bezpiecznych. Jednocześnie podkreśla się znane już metody świadomego dbania o swoje bezpieczeństwo: wieloskładnikowe uwierzytelnianie, brak zaufania do nieznanych sieci i co za tym idzie, nieoperowanie na wrażliwych danych (dane prywatne, hasła, numery kart) w miejscach publicznych i niezaufanych.

Płatności telefonem nie są u nas nowinką technologiczną. Na rynku zadomowiły się już takie rozwiązania jak Blik, PeoPay, „karta kredytowa w telefonie” (telefon służy jako emulator właściwej karty – NFC/HCE) oraz Google Pay. Apple Pay dołącza do tej grupy rozwiązań, wypełniając lukę, która dotykała użytkowników technologii Apple.

Warto przypomnieć, że żadna ze znanych obecnie metod płatności nie jest w pełni bezpieczna i w 100% odporna na nadużycia i kradzieże. Zarówno portfele tradycyjne, jak i te ukryte w telefonach mogą zostać skradzione. Jednak e-portfele mają wbudowane wiele technologicznych zabezpieczeń, utrudniających kradzież zawartości, a współzawodnictwo pomiędzy dostawcami takich usług powoduje, iż stale poprawia się użyteczność rozwiązań, a przede wszystkim skuteczność zabezpieczeń.

Aktualizacja:

  1. Obecnie karty kredytowe dodaje się do aplikacji Apple Wallet. Początkowo karty był przechowywane w aplikacji Apple Passbook i wdrażając Apple Pay, wykorzystano to rozwiązanie. Jednak w celu lepszej implementacji funkcjonalności Apple Pay zastąpiono Apple Passbook przez Apple Wallet (wraz z iOS9).
  2. Apple Pay jest obsługiwane przez Apple Watch począwszy od Apple Watch (1st generation).
    Pełna i oficjalna lista kompatybilności usługi Apple Pay ze sprzętem: https://support.apple.com/pl-pl/HT208531

Dziękuję uważnym czytelnikom za zwrócenie uwagi na nieścisłości.