Google устранила уязвимость в Android, которая позволяла злоумышленникам внедрять вредоносное ПО через NFC / Хабр

Зачем? что нам это даёт?

Помимо уже очевидных сценариев: пропуска, оплата и проездные — есть приложения, которые умеют класть деньги на карту «Тройка» и другие транспортные карты.

Есть приложение — Считыватель банковских карт. Оно например может показать последние транзакции по карте. Не уверен, что это очень этично, но приложение лежит в Play Market.

Кстати, многих интересует, почему Google и Apple Pay не работают с картами Мир? Дело не в технических особенностях. Просто платежная система не договорилась с сервисами. Платить можно через свое приложение под Android — Мир Pay. Правда оно глючное, а под iPhone его вовсе нет!

Кстати, лайфхак. Если у вашего Android нет NFC, но платить очень хочется, что делать? Можно положить карточку под чехол. Обращайтесь. Правда толстые чехлы могут не пропускать волны даже встроенного NFC — так что проверяйте.

Мы уже поговорили про устройства, но есть вторая важная часть — это NFC метки. Они бывают двух видов.

  1. Те, на которые можно записывать информацию. Они выглядят как маленькие наклейки. Обычно доступный объем памяти — около 700 байт. Подобные выпускала компания Sony.

Тут можно хранить кучу всего, например:

  • Доступ к Wi-Fi для гостей
  • Записать контактные данные и использовать в качестве визитки
  • Настроить смартфон переходить в спящий режим ночью на тумбочке
  • Еще в нее можно сохранить какие-то данные, например пароль или токен от BitCoin. Только лучше в зашифрованном виде.


Такую метку прочитает любой телефон с NFC.

Что делать, если у вас нет NFC меток? Их можно заказать, стоят копейки.

Но можно взять обычную банковскую карту или транспортную, вроде «Тройки». Это закрытые для записи метки. Типичный пример — ваша банковская карта. На них нельзя ничего записать.

Но ваш смартфон можно запрограммировать на любые действия, когда к нему приложат такую штуку.

Если у вас Android, можно поставить приложение например MacroDroid или NFC ReTag. В них можно назначать примерно такие же действия на NFC-теги. Включать/выключать Wi-Fi и звонок, запускать приложения, включать ночной режим. Например, можно сделать так, что когда вы кладете телефон на карту «Тройка», у вас автоматом открывается канал Droider. Рекомендую!

Кстати вот так выглядит содержимое «Тройки».


А еще можете почитать на

Изнанка работы платежных технологий на основе nfc и mst

image

С учетом популярности и распространенности платежных технологий на основе NFC и имитации магнитного сигнала — MST, мы в команде платежного провайдера

Fondy

, публикуем пост, в котором описан механизм работы этих решений: от точки А (взаимодействия с платежным терминалом) до точки Б (исполнения транзакции).

По результатам выдачи Яндекса, главным вопросом пользователей на тему NFC остается «Что такое NFC и как научиться им пользоваться?». Это сильно контрастирует с тем же Google, где вопрос уже другой. Что такое NFC, там уже знают — NFC там есть в каждом домохозяйстве. Вопрос — как применить то, что дано? Что можно делать, используя NFC? Что делать обычному непродвинутому пользователю с технологией ближнего поля?

Для начала вот список нескольких смарт-устройств, совместимых с NFC: Nexus 6, Sony Xperia Z3, iPhone 6/7, Samsung Galaxy Note 4, LG G3, HTC One M9. Для любителей изучения и сравнения девайсов, вот полный список.

Очень скоро чипы NFC будут встроены в смартфоны всех производителей, и даже фитнес-трекеры будут работать на основе NFC. Apple использует данную технологию в Apple Watch, и уже сейчас вы можете оплатить товары через Apple Pay взмахом руки.

Вот так выглядит считывание карты с чипом EMV:

image

image

Для чего был сделан экскурс в EMV? Чтобы наглядно показать, что с появлением NFC почти все предшествующие шаги (действия) должны были быть каким-то образом повторены, реплицированы, перенесены в телефон или другое бесконтактное устройство.

Дальше мы поговорим о том, что такое TSM и SecureElement, которые делают NFC транзакции более безопасными. Ведь если карту не эмулировать в телефоне при помощи HCE (HostCardEmulation), тогда данные нужно где-то хранить. SecureElement как раз занят решением этой задачи.

image

OTA — удаленное управление элементами безопасности.

TSM — TrustedServiceManager — уникальный посредник, который владеет ключами. Это аппаратно-программный комплекс, предоставляющий технологические отношения между операторами связи и поставщиками услуг.

Ключевые услуги доверенной третьей стороны включают защищенную загрузку и менеджмент контента элемента безопасности, выполняемый при взаимодействии с провайдерами мобильных сервисов. Это могут быть банки, транспортные компании, поставщики и агрегаторы услуг. Удаленное управление приложениями, обычно выполняемое с использованием технологий беспроводной сотовой связи (over-the-air, OTA), включает установку и персонализацию приложений в элементе безопасности мобильного телефона, а также дальнейшее обслуживание установленных приложений на всем протяжении их жизненного цикла, равно как и сервисную поддержку. Подробнее о роли и месте TSM в экосистеме NFC можно прочесть здесь.

SecureElement — безопасный элемент в устройстве NFC — данные, размещенные в кошельке устройства. Это отдельный микропроцессор, отвечающий за безопасное хранение и работоспособность платежных приложений Mastercard Mobile PayPass/VisaPayWave. Либо его делают встроенным (установленным на материнской плате телефона), либо он размещен на отделяемом модуле: UICC SIM-карта/SD карта памяти.

image

Для более наглядного понимания ежедневного применения TSM-платформы процитируем отрывок из пресс-релиза МТС от 03 марта 2020 года:

«С появлением TSM-платформы снимается последнее инфраструктурное ограничение на пути массового развития в России NFC-сервисов — мы получим связующее звено в экосистеме NFC, единую «точку входа» для быстрого подключения широкого круга поставщиков услуг… Для пользователя наш новый технический комплекс дает возможность быстрой и безопасной загрузки «по воздуху» прямо на SIM-карту электронного образа банковских и транспортных карт, проездных билетов, карт лояльности, пропусков. Скоро абоненту МТС будет достаточно единожды получить в салоне МТС SIM-карту с поддержкой NFC, чтобы в дальнейшем оформлять дубликаты пластиковых банковских карт без визита в банк или покупать проездные билеты, получать скидочные купоны, не обращаясь в точки продаж. И все это уместится в одном смартфоне в окружении дружественного интерфейса с полной информацией обо всех доступных бесконтактных картах».

Сейчас можно сверить часы и посмотреть, насколько оправдались планы. Технологически очень даже оправдались. Воплотить удалось многое.

image

NFC-чипы уже настолько на слуху, что даже новость об их подкожном вживлении людям уже не новость.

До Евгения Черешнева (2 года назад россиянин вживил себе в руку NFC-биочип, «который позволит открывать двери, хранить данные, расплачиваться в кафе и многое другое») был Мартин Висмейер, известный как MrBitcoin. Он имплантировал два NFC-чипа, чтобы хранить криптовалюту. Московский инженер Влад Зайцев вшил себе чип от московской транспортной карты «Тройка»: теперь с помощью руки он оплачивает проезд в транспорте, а также открывает дверь офиса.

image

NFC-чипы на фото вшиты в кисти рук. Но есть и другие NFC-устройства, как, например, платежное кольцо: медицинский титан, вшитый чип (режим чтения, поддержка записи, передачи визитных карточек), брелок, стикер, наклеиваемый на гаджет, чехол для смартфонов, NFC-часы — все эти устройства будут поддерживать передачу данных при условии вшитого в них NFC-устройства, которое будет служить для передачи финансовых, либо других информационных данных.

image

Если раньше для защиты карты и транзакции опирались на шифрование данных на магнитной полосе карты, а потом все надежды были связаны с апплетами самого чипа, то сейчас безопасность платежных транзакций связана с токенизацией. Как NFС технология усилила и одновременно упростила метод передачи данных, так токенизация посредством NFC сильно усилила безопасность карточных транзакций.

Евгений Черешнев, побывавший на TED в Нью-Йорке, опубликовал свои размышления на тему современных биочипов (а NFC-чип, вшитый подкожно, суть биочип) в Facebook.

Человек, успешно проживший с биочипом под кожей более двух лет исходя из своего опыта вводит новый термин «цифровой ДНК». На таком фоне не покажется ли нам уже привычный NFC пережитком и технологическим рудиментом? Впрочем, пока до этого далеко.

Читайте ещё про NFC:  Бесконтактные платежи на «Кукурузе» —

Пока важно продолжить работу над безопасностью в сфере финансовых транзакций, в том числе, NFC-транзакций. Токенизация тут незаменимый спутник NFC-транзакций.

Токенизация — это метод защиты данных вашей карты, при котором номер карты (PAN) заменяется на виртуальный (токен), уникальный и случайно сгенерированным набор чисел. Сами токены могут быть как одноразового, так и многоразового использования. Эта технология вытекает из технологии NFC.

image

Токенизация позволила пользователю привязывать свои карты к мобильным кошелькам, при этом не сообщая интернет-мерчантам реальный номер карты, а подменяя его токенизированным. Таким образом, отправлять транзакции с телефона или оплачивать покупку при помощи телефона, с применением токенизации становится безопасно.

Замена реквизитов платежных карт на случайно выбранные символы/цифры (токены), которые будут сохраняться в базе магазинов, где пользователь совершает оплату, удобна для дальнейших покупок — всего лишь одним нажатием пальца вы совершаете платеж. При этом для каждого интернет-магазина может формироваться свой набор символов. Например, сервис VISAToken сначала работал только на iOS-устройствах (первой платформой для экспериментов стала Apple Pay), однако в дальнейшем токенизация стала поддерживаться и на других NFC-устройствах.

Как происходит обмен данными при использовании токена?

image

А вот как при этом выглядит авторизационный запрос:

image

Уже разработан токенизированный платежный шлюз, например, Rambus Bell ID. Он представляет собой софтверную платформу, которая управляет всеми транзакциями, совершенными посредством токенов (ключей), между эмитентами и «многоканальными» провайдерами токенизированных сервисов через единый платежный шлюз. На смену PSP (payment service providers) приходят TSP (tokenized service providers).

Платежная система VISA ввела сервис Visa Token Service для европейских банков. Основной платформой, на которой будет работать VTS, станет Apple Pay. Тем не менее, поддерживать эту систему смогут все устройства с чипом NFC. В 2020 году Mastercard запустила платформу Digital Enablement Express (Express), чтобы ускорить предоставление миллионам покупателей дополнительных возможностей при совершении безопасных электронных платежей. Сервис Express ускоряет процесс цифрового преобразования и токенизации по картам Mastercard через платформу Mastercard Digital Enablement Service (MDES). Эта технология позволит превратить любой аксессуар, гаджет или предмет бытовой техники, в устройство с функцией оплаты.

Платежная система Apple Pay использует NFC. Samsung, выстраивая свою платежную систему, опирается как на технологию NFC, так и на технологию MST (Magnetic Secure Transmission) — магнитно-безопасную передачу. Если в первой принимающие устройства должны быть оснащены NFC-приемником, то MST имитирует передаваемое магнитное поле при помощи индукционной петли, встроенной в устройство, что и создает магнитное поле, легко считываемое MAG — терминалом, как если бы была совершена обыкновенная карточная транзакция.

По информации рынка, обе технологии страдают от невнимания пользователей. Если NFC-транзакции страдают от того, что только 10% терминалов оснащены одноименным приемником, то с MST картина хоть и лучше, но тоже странная: вероятно, что до 10% принимающих устройств не смогут считывать MST-транзакции. Между тем, как первая, так и вторая технологии вполне надежны: обе используют токенизацию и берегут номер карты от чужих глаз, обе поддерживают NFC для передачи информации по карте. Samsung сделал шаг на опережение, предложив MST, но пользователь слишком ленив и консервативен, чтобы оценить это сейчас по достоинству.

Бесконтактные платежи получили название «наличные 2.0», а между тем, от Банка 2.0 все давно устремились к Банку 3.0. «Банк сегодня — это не то место, куда вы ходите, а то, что вы делаете». Бретт Кинг пишет быстро, но новости из мира финансовых технологий устаревают и становятся общим местом еще быстрее. Когда очередной шедевр Кинга будет опубликован, скорее всего токенизация, MST, NFC, RFID-метки — все это станет классической топонимикой Банка 3.0.

image

Google: мы пойдем другим путем

Другой подход избрали в Google, рассудив, что зависимость от вендоров (производителей телефонов и Secure Elements) радикально снижает адаптивность технологии и препятствует массовому тиражированию платежных сервисов. Рассудив так, Google реализовала подход, при котором NFC-контроллер напрямую связан с основным процессором, непосредственно обеспечивающим работу платежного приложения, хранение данных, подпись транзакций и т.д. А информационная безопасность обеспечивается программными средствами.

В декабре 2020 года Google выпустила версию Android 4.4 KitKat, в которой была реализована возможность взаимодействия NFC-контроллера не только с SE, но и с обычным приложением в телефоне. Проще говоря, отпала необходимость промышленной прогрузки информации в специальные устройства, стало достаточно просто установить на смартфон платежное приложение, работающее по технологии HCE.

Безопасность

Наиболее очевидное на сегодняшний день тонкое место технологии HCE – безопасность. Данные, необходимые и достаточные для осуществления NFC-платежей, хранятся непосредственно в памяти смартфона. Однако для мобильного приложения карты «Билайн» используется комплекс мер, которые сводят к минимуму вероятность взлома. Мы делали внутренний конкурс на взлом системы, с очень хорошим вознаграждением, анализ кода.

Разберем некоторые аспекты информационной безопасности технологии HCE, реализованные для мобильного приложения карты «Билайн».

Операции по заблокированному телефону невозможны. В этом смысле HCE-решение защищено лучше, чем обычная пластиковая карта с бесконтактным интерфейсом – чтобы совершить платежную операцию злоумышленник должен разблокировать телефон. В случае обычной карты – достаточно получить саму карту.

Продукт защищен от взлома и клонирования как на уровне самого приложения, так и на уровне процессинга. Все данные шифрованы, приложение само отслеживает попытки взлома и при обнаружении такой попытки зачищает все критичные данные. При этом приложение периодически сообщает процессингу свое состояние, при всех операциях хост проверяет ожидаемое состояние и сравнивает с фактически полученным.

При несовпадении, что может быть вызвано попыткой клонирования, карта блокируется. Кроме того, в процессинговом центре настроены специальные правила эмитентского фрод-мониторинга, которые контролируют количество беспиновых операций и блокируют карту при обнаружении подозрительной активности.

Операции на сумму свыше 1000 рублей защищены онлайн пин-кодом, который вводится в пинпад терминала. Перехват пин-кода через взлом приложения невозможен – просто потому, что пин-код на телефоне никогда не вводится.

При утере телефона порядок действий практически ничем не отличается от стандартных мероприятий, выполняемых при утере обычной банковской карты: звонок в контакт-центр, блокировка карты «Билайн» по EAN, получение в салоне связи новой карты. На новую карту будут перенесены все остатки денежных средств, бонусы и так далее.

При этом, естественно, номер карты поменяется, а у злоумышленника будет на руках телефон, в котором будет эмулирована старая карта, операции по которой совершить уже невозможно, поскольку она заблокирована.Кстати, следует обратить еще на один нюанс, связанный с безопасностью технологии NFC в целом.

Существует представление, что уязвимым является сам сеанс передачи данных от смартфона к POS-терминалу. На самом деле каждая транзакция защищена уникальной криптограммой, без которой авторизация невозможна. Из тех данных, которые передаются по радиоканалу, практически невозможно извлечь никакой информации, которая помогла бы злоумышленникам похитить средства со счета, подписав другие транзакции.

Бонус для тех, кто дочитал

Мы знаем, что вам нравятся наши подробные разборы, но мы уверены, что идея подобных роликов, а возможно и готовый сценарий у вас есть. Так вот, если у вас есть идея, вы разбираетесь в теме и готовы сделать с нами материал-разбор — пишите на нашу новую почту

Будет ли работать этот сервис на платформе ios?

Apple пошли по пути phone-based и используют встроенный Secure Element, куда никто, кроме Apple, карточные ключи загрузить не может. Поэтому единственный реалистичный в настоящее время вариант – это интеграция с новой технологией Visa Token Service (генерация временных ключей для оплаты), на основе которой Apple Pay, собственно, и работает.

Читайте ещё про NFC:  Что такое NFC в телефоне - для чего нужен, как включить и пользоваться NFC

В чем профит?

Итак, что нам дает сервис бесконтактной оплаты с помощью мобильного телефона? Можно забыть дома кошелек, оставить в квартире паспорт или даже водительское удостоверение, но почти со 100% вероятностью сотовый телефон будет при вас. А если на этом телефоне инсталлировано приложение для бесконтактной оплаты, значит, вы всегда «при деньгах».

Далее. NFC-транзакция – это мгновенная оплата. Даже для того чтобы расплатиться пластиковой карточкой, её для начала нужно извлечь из бумажника, а перед этим – бумажник из кармана или сумки. При расчете наличными добавляется момент пересчета, передачи денег, получения и проверки сдачи и т.д.

После совершения транзакции на телефон приходит sms-сообщение о прошедшей операции и об остатке на счете, т.е. вы всегда в курсе состояния своего электронного кошелька.

Кстати, интересная деталь – в приложении карты «Билайн» реализована технология единого ПИНа для нескольких карт, в данном случае – для основной карты «Билайн» и карты, эмулированной мобильным приложением. То есть и при расчете по пластиковой картой, и используя сервис бесконтактных платежей, вы вводите один и тот же пароль.

Сервис бесплатный, никаких комиссий за NFC-транзакции не взимаются.

Где можно платить?

Конечно, развитость инфраструктуры приема бесконтактных платежей зависит от конкретного региона, однако сегодня уже порядка 5% платежных терминалов уже оснащены функцией NFC. В масштабах всей России это, по экспертным оценкам, около 30 тысяч устройств.

При оплате следует ориентироваться на наличие на POS-терминале значка, обозначающего, что аппарат оснащен бесконтактным функционалом.

Если говорить о конкретных точках, то это сети, крупные магазины, фаст-фуды, заправки. McDonald’s, Starbucks, Subway, гипермаркеты «Ашан», О’КЕЙ, «Магнит», «Аэроэкспресс», крупные сети сотового ритиейла, магазины глобальных производителей косметики и парфюмерии, модные места проведения досуга.

Для чего еще может использоваться nfc?

Одна из перспективных штук — электронные билеты. В кино или на концерты. Сейчас это делают через QR-код и это не так круто, на мой взгляд. Хотя миллионы китайцев со мной не согласятся.

Зарядка


Если к этому моменты вы решили, что все знаете об NFC и устали от этих унылых применений. То вот вам кое-что бомбическое.

Есть такая организация NFC Forum, которая сертифицирует NFC. Вообще у каждой технологии есть такая организация, и хорошо если она одна.

И вот на днях они выложили очередной апдейт стандарта. И знаете что? Теперь NFC поддерживает беспроводную зарядку. Да, по сути, это четвёртый режим работы.

Как спросите вы? Электромагнитная индукция, помните? При помощи нее.

К слову Qi-зарядка работает точно по такому же принципу. Только там катушка побольше.

Но есть одна проблема. Катушка у NFC маленькая, а значит и мощность зарядки маленькая — всего 1 Ватт.

Можно ли зарядить смартфон с такой скоростью? Не стоит даже пробовать. Впрочем, функцию для этого и не придумывали.

Основное назначение ровно противоположное — зарядка смартфоном других устройств. Это вроде реверсивной зарядки в Galaxy и других смартфонах. Например, можно подпитать сами беспроводные наушники, а не кейс от них. По сути, перед нами очень дешевая беспроводная зарядка, которая есть в любом смартфоне и которую легко вставить в любое умное устройство.

Кстати 1 Ватт это не то чтобы слишком мало. Для сравнения со всеми iPhone кроме 11 Pro, кладут 5-ваттную зарядку. А мощность обратной беспроводной зарядки в современных флагманах колеблется на отметке 5 или 7 Вт.

Но есть одно но — на текущих моделях эта фича не заработает. Смартфоны с с такой фишкой скорее всего начнут появляться через год-полтора. Так что ждите рекламу этой штуки от Samsung.

История устранения уязвимости cve-2020-2114:

30 января 2020 года: Получен первоначальный отчет по возможной уязвимости.

31 января 2020 года: Уязвимость подтверждена, начаты работы по ее изучению.

1 февраля 2020 года: Проблема безопасности системы по этой уязвимости переведена в статус «высокая».

2 марта 2020 года: Проверка воспроизводства данной уязвимости с другими вендорами.

6 апреля 2020 года: Проверка воспроизводства данной уязвимости с другими вендорами.

29 апреля 2020 года: Проверка воспроизводства данной уязвимости, исправление уязвимости в разработке.

29 июня 2020 года: Проверка воспроизводства данной уязвимости с другими вендорами.

1 июля 2020 года: Вендоры уведомлены о том, что по этой уязвимости будет выпущено исправление, назначен номер CVE.

8 июля 2020 года: Вендоры дополнительно проинформированы об уязвимости.

10 июля 2020 года: Выпуск исправления был отложен на месяц.

28 июля 2020 года: Черновик информационного письма об исправлении отправлен ведорам на проверку.

Как воспроизвести уязвимость на android-устройствах (проверено на ос android 9 и android 8.10):

1. Настройте два смартфона: включите в них поддержку NFC и Android beam.

2. Сохраните любой APK-файл на устройство-отправитель (некоторые предпочитают сохранить для данного теста вот этот APK с GitHub).

3. Зайдите в диспетчер файлов на устройстве-отправитель, нажмите на файл и выберите «Поделиться» (Share). Затем выберите «Android Beam» в качестве метода обмена.

4. Поднесите два смартфона друг к другу и завершите передачу между ними APK-файла.

5. После передачи APK-файла на устройстве-получателе нажмите уведомление “Beam completed” и нажмите на APK-файл, начнется сразу его установка в системе, минуя предупреждения системы безопасности и не будет выскакивать уведомление типа «Установить приложения из неизвестного источника».

Исправление уязвимости CVE-2020-2114 было выпущено в составе бюллетеня безопасности Google за октябрь 2020 года. Всем пользователям рекомендуется установить данное обновление на свои устройства, чтобы устранить эту уязвимость. После применения обновления, пользователям рекомендуется проверить в настройках безопасности своих устройств, что в разделе «Установка неизвестных приложений» теперь служба NFC имеет статус «не разрешено» для установки приложений.

Как обстояли дела ранее?

У классических способов до HCE имеются существенные недостатки. При подходе SIM centric требуются специальные SIM-карты, которые значительно дороже стандартных карт, обязательна процедура посещения пользователем точки продаж для замены SIM-карты и т.д.

При eSE-подходе сложностей и ограничений ещё больше – моделей телефонов, имеющих специальный блок для хранения информации о карте, на рынке крайне мало, стоимость персонализации элемента в телефоне весьма высокая, появляется зависимость от производителя телефона и провайдера услуг персонализации «по воздуху» (Over-The-Air Service Provider).

Раньше, чтобы запустить сервис NFC-платежей, его провайдеру нужно было договариваться с вендором о получении ключей для записи на телефон платежных данных. Некоторые производители телефонов предоставляли собственный облачный сервис, с которым провайдеру платежного сервиса необходимо было интегрироваться, передавать ему платежные данные для дальнейшей заливки этих данных в телефон.

Для пользователей основным неудобством этих hard подходов является привязка системы безопасности к аппаратным средствам а, следовательно, неизбежная необходимость смены SIM-карты или даже телефона для подключения сервиса NFC-платежей.

Как работает nfc?

Вы наверняка знаете, что NFC расшифровывается как Near Field Communication или по-русски — связь ближнего действия.

Но это не обычная передача данных по радиоволне. В отличие от Wi-Fi и Bluetooth NFC устроен хитрее. В основе лежит электромагнитная индукция. Это очень крутая штука из школьной программы, напомню.

Идея в том, что вы берете один проводник, в котором нет электричества. И кладете рядом с ним второй проводник, в котором есть электричество. И знаете, что? В первом проводнике, где электричества не было, начинает течь ток!

Круто, да?

Когда мы впервые про нее узнали, подумали, что такое невозможно! Серьезно? Вы гоните! Пошли играть в Counter Strike, пацаны.

Ну так вот, когда вы подносите смартфон к какой-нибудь NFC метке без питания, этого крошечного электромагнитного поля от смартфона достаточно, чтобы внутри метки побежали электроны, и заработали микросхемы внутри неё.

Ах да. В каждой метке есть крошечная микросхема. Например, в банковских картах микрочип запускает даже простенькую версию Java. Каково?

Может быть вы ещё слышали аббревиатуру RFID. Её разработали лет на 30 раньше. Она расшифровывается как радиочастотная идентификация. И по сути только для идентификации и подходит. Во многих офисных центрах пропуска до сих пор с RFID.

Читайте ещё про NFC:  Бесконтактная оплата картой Сбербанка: как пользоваться paypass mastercard Сбербанка

Так вот NFC является продвинутой веткой стандарта RFID и читает часть таких меток. Но главное отличие в том, что NFC умеет еще и передавать данные, в том числе зашифрованные.

NFC работает на частоте 13,56 МГц, что позволяет развить неплохую скорость от 106 до 424 Кбит/с. Так что mp3-файл скачается за пару минут, но только на расстоянии до 10 см.

Физически NFC — это маленькая катушка. Например в Pixel 4 прикреплена к крышке и выглядит вот так.

А так в Xiaomi Mi 10 Pro:

И тут как раз пора поговрить о том, что умеет делать NFC?

Работа этой технологии и смежных, вроде RFID, описаны в стандарте ISO 14443.  Там еще много чего свалено в кучу: например, итальянский протокол Mifare и VME — это в банковских картах.

NFC — это своего рода USB Type-C в мире беспроводных технологий, если вы понимаете, о чем я.

Но главное вот что. NFC может работать в трех режимах:

  1. Активный. Когда девайс считывает или записывает данные с метки или карточки. Кстати, да, данные на NFC метки можно и записывать.
  2. Передача между равноправными устройствами. Это когда вы подключаете к смартфону беспроводные наушники или используете Android Beam — помните такое. Там по NFC происходило подключение, а сама передача файла шла уже по Bluetooth.
  3. Пассивный. Когда наше устройство прикидывается чем-то пассивным: платежной картой или проездным.

Зачем NFC, если есть Bluetooth и Wi-Fi, ведь у них и скорость, и радиус действия больше.


Бонусы NFC вот в чем:

  1. Мгновенное подключение — одна десятая секунды.
  2. Низкое энергопотребление — 15 мА. У Bluetooth до 40 мА.
  3. Теги не требуют собственного питания.
  4. И не столь очевидное — малый радиус действия, что необходимо для безопасности и оплаты.

Есть правда еще Bluetooth Low Energy, но это отдельная история.

Как это работает?

У нас есть карта «Билайн» — обычная дебетовая MasterCard, которую можно получить бесплатно в любом салоне «Билайн». Ежегодная абонентская плата за обслуживание нашей карты не взимается. Карта работает как обычный MC по всему миру, только при совершении покупок возвращается от 1,5% потраченной суммы на счет в виде бонусов.

Карта эмулируется на телефоне.

По сути, технология HCE дает возможность эмулировать в телефоне бесконтактные smart-карты. В нашем случае виртуальная карта является дополнительной функцией физического носителя – пластиковой карты «Билайн». Владелец такой карты, являющийся одновременно владельцем телефона на платформе Android KitKat, оснащенного NFC-модулем, устанавливает на него мобильное приложение карты «Билайн».

При входе в мобильное приложение для активации функции бесконтактных платежей достаточно ввести ЕАN карты и свой пароль. Приложение проверяет наличие/доступность HCE на устройстве, и если все ок, пользователю предлагается подключить функционал. Если пользователь подтверждает свое согласие на подключение сервиса, ответив на полученную sms вводом одноразового пароля, то производится эмиссия виртуальной карты – в мобильное приложение из процессингового центра загружаются данные, необходимые для совершения NFC-платежей. Собственно, на этом всё – телефон стал инструментом бесконтактной оплаты.

На телефоне HCE функционирует как фоновый сервис, что позволяет использовать HCE, не запуская приложение для этого взаимодействия. При взаимодействии с терминалом Android’у необходимо выбрать приложение, которому отправить данные для обработки. Такой выбор делается на базе Application ID (AID), который содержит до 16 байт информации, и известен для популярных платежных систем, таких как Visa или MasterCard.

Приложение может обрабатывать несколько различных AID, которые объединяются в группу. Каждая группа может быть связана с определенной категорией. В настоящий момент определено две категории: CATEGORY_PAYMENT (для приложений оплаты) и CATEGORY_OTHER (для остальных).

Какие еще есть особенности?

Например, если у пользователя не один, а несколько телефонов на Android 4.4, то сервис бесконтактной оплаты, привязанный к его основной карте, может быть установлен на все устройства владельца этой карты. Это удобно, например, для использования сервиса семьей. При этом на одном телефоне может существовать только одна виртуальная карточка.

При оплате, когда телефон подносится к терминалу, на экране отображается сумма покупки и информация об успешности проведения платежа.Оплата производится только при разблокированном экране, поэтому важно, чтобы телефон был защищен паролем. При этом само приложение может быть закрытым.

При удалении приложения с телефона виртуальная карта блокируется. При восстановлении приложения происходит повторная эмуляция карты, поэтому придется проходить процесс настройки бесконтактной оплаты с нуля. Повторная активация услуги потребуется также, если в приложении отключить сервис бесконтактной оплаты.

Google устранила уязвимость в Android, которая позволяла злоумышленникам внедрять вредоносное ПО через NFC / Хабр
Активность сервиса бесконтактной оплаты подтверждается оранжевым цветом соответствующей иконки

Платежные карты nfc, доступность данных

Общеизвестный факт, что данные на кредитках NFC не зашифрованы. Легкость считывания номера кредитки, а так же срока ее действия была публично продемонстрирована в Вашингтоне, на ShmooCon – конференции хакеров одним из представителей этого ремесла Кристином Паже еще в феврале текущего года. Сегодня уже существуют специальные приложения для смартфонов, позволяющие считывать подобную информацию.

Есть у NFC чипов и достоинство, дающее преимущество над Visa и MasterCard, оно заключается в отсутствии в нем некоторой важной информации, например, трехзначного CVV – кода для проверки подлинности. Преимущество, конечно, серьезное, потому что неуязвимость двух названных оппонентов заканчивается именно в тот момент, когда владелец на мгновение выпускает карту из рук, например, оплачивая обед в ресторане или в другом месте.

Мошеннику этих секунд вполне достаточно, чтобы списать номер с карты, CVV в том числе. Однако, и это преимущество не бесконечно, потому что оно теряет всякий смысл, когда владелец пластика подключает себе услугу СМС-уведомлений обо всех произведенных транзакциях.

Про apple

Что делать, если у вас iPhone? Все думают, что доступ к NFC закрыт на iPhone, но это не так. Начиная с iOS 11, то есть с 2020 года Apple открыла доступ для разработчиков. И уже есть множество приложух таких же как на Android. Например, NFC Tools.

Правда там остаются ограничения: транспортные и банковские карты, например, не сканируются. Нужны специальные метки, о которых мы уже говорили.

Что делать? В iOS 13 появилась Функция Команды (Siri). И вот она как раз имеет доступ к любым NFC-меткам. Так что тут можно настроить запуск музыки по карте «Тройка». Или включить умную лампочку. Или еще кучу всего. Команды — реально бомбическая штука. Не понимаю, почему в Android такого до сих пор нет.

Прогнозы

Можно прогнозировать, что рынок NFC-платежей в России переходит из стадии становления в фазу активного роста. Растет число телефонов, поддерживающих технологию NFC, появляются интеграционные проекты, реализуемые совместно вендорами, платежными системами и ритейлерами.

В I полугодии 2020 г. в России было реализовано 1,2 млн. смартфонов, поддерживающих технологию NFC. Это на 21% больше, чем за аналогичный период прошлого года. NFC-смартфоны составили 14% от всех продаж смартфонов в стране. Понятно, что бурный рост может быть обусловлен только удобством применения бесконтактных технологий, а массовость сервису может придать мощный драйвер. Такой, например, как бесконтактная оплата проезда в общественном транспорте, прежде всего в метрополитене.

Если же говорить о емкости рынка NFC-платежей в России, то эксперты называют цифру порядка 15 млрд. рублей (оценка агентства J’son & Partners).

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector