NFC Эксперт Почему samsung продаёт ваши данные
Понять, почему Samsung позволяет себе такое поведение, по большому счёту несложно. Дело в том, что Samsung, в отличие от Apple, не взимает с банков никаких комиссионных сборов за каждую бесконтактную транзакцию, а потому фактически предоставляет пользователям бесплатный доступ к своему сервису.
Но неужели вы думали, что настолько удобный и перспективный с точки зрения масштабирования аудитории продукт в принципе может быть коммерчески невыгодным? Конечно же, нет. А раз он предоставляется на безвозмездной основе, совершенно логично было предположить, что товаром являются те, кто им пользуется.
Samsung открыто говорит, что продаёт данные пользователей samsung pay
Несмотря на то что именно Apple считается, пожалуй, самой заботливой компанией, когда речь заходит об обеспечении безопасности клиентов, Samsung до недавнего времени тоже ни разу не становилась фигурантом дел о сливе пользовательских данных. Однако в наступившем году неожиданно выяснилось, что корейцы, во-первых, сливают часть конфиденциальной информации в Китай, а, во-вторых, недостаточно тщательно защищают свои устройства от хакерских атак.
Данные пользователей Samsung Pay безжалостно продаются на сторону
Что такое samsung pay и как обстоят дела с безопасностью
На проводившейся недавно в Барселоневыставке Mobile World Congress крупнейший производитель Android-смартфонов, Samsung, представил свою собственную платформу мобильных платежей — Samsung Pay. Название, разумеется, напоминает об Apple Pay — запущенной ранее платежной платформе главного конкурента южнокорейской компании. Несмотря на сходство в общей концепции, платформа Samsung Pay предлагает кое-что такое, чего Apple Pay не умеет. А именно технологию MST — Magnetic Secure Transmission.
Технология MST разработана компанией LoopPay, которая без лишнего шума была куплена Samsung в середине февраля — буквально за пару недель до непосредственного анонса Samsung Pay. В чем идея этой технологии: если Apple Pay позволяет расплачиваться смартфоном только в тех терминалах, которые поддерживают NFC, то MST дает пользователю возможность платить в любых терминалах, которые работают с магнитной полосой карты.
Считыватель магнитной полосы встроен во все имеющиеся в мире терминалы. И поддержка «магнитной технологии» особенно актуальна для США, где внедрение более современной технологии EMV (карты с чипом) серьезно задержалось. Само собой, Samsung Pay позволяет платить и через NFC. То есть вроде как это те самые два зайца одним ударом — с Samsung Pay работают и самые старые терминалы, и самые новые.
Нам на Kaspersky Daily не особенно интересно участвовать в вечном холиваре Apple vs. Samsung. Но что нам интересно, так это попытаться понять, насколько безопасна платежная платформа от Samsung. Не сказать чтобы на тему MST в частности или Samsung Pay в целом была масса исследований, поэтому мы посмотрели, что рассказывает о своей технологии ее непосредственный разработчик — компания LoopPay.
Для начала разберемся, как это работает. А работает это следующим образом: MST генерирует переменный ток и за счет этого создает динамически изменяющееся магнитное поле. По сути, эмулируется процесс «прокатывания» карты через считывающее устройство — по крайней мере, для считывателя магнитной полосы это будет выглядеть именно так. Разумеется, непосредственного «прокатывания» не происходит, смартфон достаточно поднести к терминалу.
Собственно, MST передает бесконтактным способом данные магнитной полосы карты таким образом, чтобы терминал думал, что он считывает карту. Диапазон действия составляет около трех дюймов, то есть около 7–8 сантиметров. Переменное магнитное поле создается только тогда, когда пользователь инициировал оплату.
Пока не очень понятно, предусмотрели ли разработчики какие-то дополнительные меры безопасности по сравнению с обычными для карт с магнитной полосой. Но можно достаточно уверенно предположить, что нет — для этого пришлось бы как-то модифицировать и платежные терминалы, а вся идея состоит именно в том, чтобы обеспечить совместимость с древней технологией без дополнительных вложений.
Внутри приложения LoopPay пользователь может управлять генерацией магнитного поля: оно может быть включено всегда или всегда отключено, включено на 10 минут (этого достаточно для одной транзакции), на восемь часов или на произвольный период времени.
В случае непосредственно LoopPay для создания магнитного поля требовалась специальная аппаратная приставка. Но, насколько мы понимаем, у Samsung все необходимое железо будет встроено прямо в смартфон. Мы попытались получить комментарии Samsung, но представители компании пока не желают делиться подробностями.
Доподлинно известно только одно: оплату можно будет инициировать через приложение буквально одним жестом. У пользователя будет возможность выбрать конкретную карту из набора привязанных к кошельку Samsung Pay. Для аутентификации будет использоваться отпечаток пальца. Более интересно с точки зрения безопасности, что защиту платежной платформы обеспечивает Samsung Knox.
Не очень понятно, как на перспективы данной технологии, полагающейся на считыватель магнитной полосы, повлияет грядущая интеграция карт с чипом (стандарт EMV). На эту тему на сайте LoopPay есть даже отдельный раздел в часто задаваемых вопросах. Компания считает, что MST не менее безопасна, чем карты с чипом. Правда, не вполне понятно, что позволяет компании так думать — карты с чипом потому и придумали, что магнитная полоса чрезвычайно уязвима.
Если Samsung не собирается поддерживать EMV в Samsung Pay, то все, что они делают, — это тащат в будущее древнюю и небезопасную «магнитную» технологию
В общем, интересно было бы узнать, что обо всем этом думают в Samsung. Особенно если помнить о том, что поддержка карт с чипом должна быть окончательно внедрена в Соединенных Штатах к концу 2021 года.
Если Samsung не собирается поддерживать EMV в своей платформе Samsung Pay, то все, что они делают, — это пытаются затащить в будущее древнюю и небезопасную «магнитную» технологию. Помимо всего прочего MST может стать одним из препятствий на пути всемирного внедрения EMV — еще одна причина не избавляться от старой недоброй магнитной полосы и терминалов, которые с ней работают.
Еще один сомнительный с точки зрения безопасности момент связан с конкретной реализацией платежей. Уязвимости есть везде — от операционных систем до подключенных домашних устройств, Samsung Pay также едва ли станет исключением. Само собой, нам придется подождать того момента, когда платформа будет официально запущена в Южной Корее и США (это стартовые страны) и исследователи безопасности займутся своим любимым делом — охотой на баги. Разумеется, мы обязательно вам об этом расскажем.
Также следует помнить о том, что Android — открытая и чрезвычайно популярная операционная система, занимающая на данный момент 76,6% рынка мобильных устройств. По этим двум причинам Android очень популярен среди киберпреступников, и платформа Samsung Pay также рискует попасть в топ-лист у плохих парней, занимающихся электронным мошенничеством. За примером тут далеко ходить не надо — буквально пару недель назад мы уже читали в новостях об использовании в мошеннических целях платформы Apple Pay.
Samsung pay, оплата телефоном. безопасно или нет?
Краткое содержание:
- Samsung Pay
- Истории и мифы
- Заключение
- Обсуждение
У многих сейчас новые смартфоны, у которых очень много функций и полезных программ. Одна из них — программа PAY. Мнения у людей разделились, многие считают, что оплата телефоном не безопасна и злоумышленники украдут ваши деньги, а кто пользуется данной программой — рассказывают о удобстве и безопасности данного способа. Вот об этом и поговорим.
Истории и мифы
В Интернете полно историй о воровстве денежных средств с телефона с использованием вирусов и краж аппарата. При подробном изучении отзывов и статей есть значительные нестыковки.
Очень расплывчатая информация и звучит неправдоподобно. На форуме задаешь дополнительные вопросы, ответы сказочные и никак не связанные с приложением.
Эксперты устанавливали возможность украсть денежные средства, но на ранних версиях телефона.
Согласно информации, опубликованной SecurityLab, компания Tencent провела анализ приложения Samsung Pay. В результате в нём была выявлена уязвимость, ставящая под угрозу платежную информацию пользователя.
В роли «подопытного» выступил смартфон Galaxy S6. Обнаруженная в программе «дыра» позволяет злоумышленникам во время оплаты перехватить участвующий в транзакции токен (генерируемый в момент оплаты уникальный цифровой код) и, создав еще один, снять деньги со счёта жертвы.
В Tencent отметили, что данную проблему удалось выявить только на вышеуказанной модели от Samsung – с другими устройствами тестерам не удалось добиться успеха. В то же время, по их мнению, это не делает прочие гаджеты невосприимчивыми к подобным взломам – нужно лишь применить «правильный набор инструментов».
Как запретить продавать свои данные
Не хотите, чтобы вашими данными торговали? Установите запрет
Интересно, что такая возможность доступна только в США и отсутствует у пользователей из Европы, Индии, России и других стран. Это значит, что она напрямую связана с вступлением в силу закона, регламентирующего деятельность компаний, имеющих доступ к конфиденциальной информации.
Скорее всего, появление запретительного механизма является следствием принятия закона штата Калифорния, который требует от компаний разъяснять своим клиентам во всех подробностях, как именно они используют их персональные данные, а также дать им возможность запросить полный пакет сведений о себе и запретить их передачу или продажу третьим лицам.
Как начать пользоваться samsung pay
Найдите в меню приложение Samsung Pay и запустите его.
Если приложения нет на смартфоне, установите его из из Galaxy Store.
Теперь про google pay
(далее gpay).
В отличие от SPay,
платежная система от Google не располагает возможностью производить оплату на
терминалах, на которых нет поддержки NFC, поэтому если в вашем любимом магазине терминалы старого
образца, вы либо платите наличными, либо достаете карту.
Зато в GPay отсутствует ограничение на количество карт, которые можно
добавить в один аккаунт. Сколько хотите, столько и добавляйте.
Среди других плюсов, отличающих GPay от SPay, стоит также выделить отсутствие ограничения на производителя – платежная система от Google может быть установлена практически на любое Android-устройство с официальной версией Android версии 4.4 KitKat и выше, а также без Root (есть способы обхода, но это не тема для рассуждения) и даже на iPhone.
Как и в SPay,
в GPay
можно добавлять карты лояльности.
Таким образом, платежный сервис от Google оказывается
гораздо универсальнее, чем таковой от Samsung.
При этом, плохо это или хорошо, но Google не так
сильно заморочена на безопасности платежей. Поэтому, в отличие от Samsung, платежная система Google использует
те же самые виды блокировок доступа к телефону, что и сам телефон. То есть,
если вы используете отпечаток пальца и разблокировали телефон перед оплатой,
вам не придется подтверждать покупку.
С одной стороны, это не так безопасно, как в SPay, с другой стороны, если
кто-то разблокировал мой телефон, что мешает ему сделать то же самое с
платежным приложением?
Итого, имеем следующее:
SPay позволяет проводить оплату даже там, где нет поддержки
бесконтактных платежей, но работает только на аппаратах Samsung (кроме бюджетных) и имеет
повышенный уровень безопасности, который зачастую является излишним, так как
создает дополнительные неудобства (отпечаток срабатывает не сразу, сканер
сетчатки требует снимать очки и растопыривать глаза).
GPay
не имеет ограничений на производителя железа и работает на любых Android-устройствах,
отвечающих ряду требований, таких как версия и отсутствие модификаций, а также
имеет комфортный уровень безопасности. При этом, в отличие от своего визави,
позволяет производить оплату только на терминалах, имеющих поддержку NFC.
Вместо заключения
В моем случае самым оптимальным оказался вариант использования
сразу двух платежных систем, органично дополняющих друг друга.
В качестве основного способа оплаты я использую GPay, который позволяет
оплачивать покупки с экрана блокировки, просто один раз нажав клавишу питания,
так как на телефоне используется Smart Lock, разблокирующий телефон, пока есть связь с фитнес-браслетом.
Параллельно на телефоне настроен и SPay, который используется в тех
случаях, когда оплата GPay не может быть выполнена (например, терминал без поддержки NFC). Для того, чтобы сервисы
не мешали друг другу, SPay установлен в качестве резервного и настроен на запуск только
с экрана блокировки свайпом вверх. Все остальное время он спит и ждет своего
часа.
Одним из частых случаев, когда SPay мне пригождается, является покупка снеков в автомате на работе.
Дело в том, что в этом автомате установлен тупой терминал, который не всегда корректно обрабатывает бесконтактные карты, и тогда он отказывается принимать телефон и просит вставить или прокатить карту. Вот тут-то меня и выручает SPay с его MST. Вместо карты я просто запускаю SPay и подношу телефон к магнитному считывателю терминала. Терминал думает, что через него прокатили карту с магнитной полосой, и радостно соглашается принять оплату.
Конечно, кроме этого юмористического сценария, SPay мне очень пригождается и в поездках в европейские страны, где далеко не все терминалы, оказывается, оснащены чипами NFC.
В скором времения планирую переход с аппаратов Samsung на аппараты Pixel от Google мне не останется выбора, какую платежную систему использовать, зато есть выбор у владельцев Samsung.
В связи с этим хотелось бы узнать ваши сценарии
использования GPay/SPay/Apple Pay и предпочтения в выборе
бесконтактных платежных систем.
Заключение
Пользоваться или нет данной программой на телефоне с операционной системой Андроид от компании Samsung — выбор за вами.
Мифы о том, что небезопасно использовать эту программу, не выдерживает никакой критики. Безопасность у Samsung Pay на хорошем уровне и обеспечивается платформой безопасности Knox, к которой за последнее время претензий нет.
Также используется биометрическая аутентификация Samsung, включающая распознавание лиц и ультразвуковой датчик отпечатков пальцев, предотвращает несанкционированный доступ к вашим данным, даже если устройство потеряно или украдено.
Единственное, что могу добавить, — за год пользования у меня проблем нет, одни удобства.
В следующей статье расскажу о Apple Pay.