Warszawa, 5 sierpnia 2015 – Polacy coraz bardziej przekonują się do kart płatniczych – w ostatnim kwartale ubiegłego roku przeprowadzili nimi blisko 740 mln operacji. Ich rosnącą popularność nad Wisłą można uzasadnić coraz większą powszechnością płatności zbliżeniowych i wygodą jaką one dają.
Pod koniec 2014 roku aż trzy czwarte wszystkich transakcji bezgotówkowych dokonano za pomocą kart zbliżeniowych. Jednak to nie koniec innowacji w bankowości. Wg prognoz rynek płatności mobilnych w najbliższych latach zacznie gwałtownie rosnąć. Być może przyczyni się do tego uruchomiony w tym roku przez kilka czołowych banków w Polsce mobilny system płatności BLIK, oraz fakt, że do końca 2016 mają wszystkie terminale w kraju mają wspierać transakcje bezstykowe.
Dzięki uruchomieniu Apple Pay w Stanach Zjednoczonych, a ostatnio także w Wielkiej Brytanii, świat w którym nie musimy szukać w naszych portfelach i torebkach karty płatniczej staje się rzeczywistością. Stojąc w kolejce i tak zwykle trzymamy telefon w dłoni (byle tylko nie musieć rozmawiać z innymi klientami), więc wystarczy, że zbliżymy telefon do czytnika i możemy odejść, nie odrywając wzroku od ulubionej aplikacji! Jednakże zanim płatności mobilne staną się w pełni powszechne, do rozwiązania pozostaje jeszcze kilka kwestii bezpieczeństwa.
W przeciwieństwie do telefonów komórkowych, karty zbliżeniowe mają wbudowanych wiele zabezpieczeń. Szyfrowanie, bezpieczna komunikacja między kartą a terminalem, a także wiele innych funkcjonalności daje pewność, że Twoje dane nie zostaną przejęte. Jednym z głównych zabezpieczeń jest Secure Cryptographic Element (SE), który jest wbudowany w chip na karcie. Gwarantuje on bezpieczeństwo danych właściciela karty podczas transakcji.
Apple vs. Android
Mając to na uwadze, Apple wbudowało Secure Element do iPhonea 6 i 6+ oraz Apple Watch, które wspierają usługę Apple Pay. Według Apple w Secure Element twój token i jego kryptogram są „odizolowane od iOS, nigdy nie przechowywane na serwerach Apple Pay i nigdy nie przesyłane do iCloud. Ponieważ token ten jest unikalny i różny od typowego numeru karty kredytowej lub debetowej, Twój bank może zablokować próbę jego użycia przy płatności paskiem magnetycznym, przez telefon lub internet.”
Co się jednak dzieje w świecie Androida i Windowsa, w którym telefony są produkowane przez wiele różnych firm? Telefony te najczęściej nie posiadają SE, ponieważ każdy producent musiałby używać własnego rozwiązania, a to wiązałoby się z koniecznością dołączenia odpowiednich bibliotek w oprogramowaniu dla wszystkich modeli, co byłoby niezmiernie trudne.
Początkowo przedstawiano pomysł, aby używać kart SIM do weryfikacji płatności. W teorii było to bardzo dobre rozwiązanie. Wszyscy mają karty SIM, mogące przechowywać klucze kryptograficzne, których mogłaby używać aplikacja w trakcie płatności. Przede wszystkim klucze mogłyby być odizolowane od systemu operacyjnego, a przez to także szkodliwego oprogramowania. Niestety, właścicielami kart SIM są operatorzy komórkowi i to oni kontrolują ich dystrybucję oraz decydują jakie oprogramowanie może być na nich zainstalowane. W czasach kiedy ich dochody spadają i muszą zmierzyć się z konsolidacją branży, chcieli uzyskać dla siebie kawałek tortu płatności mobilnych. W rezultacie pomysł na płatności mobilne z wykorzystaniem karty SIM nigdy się nie przyjął, czego dowodem jest np. wygaszenie w tamtym roku projektu banku Barclays – Barclays Quick Tap.
Rozwiązanie? Google IT
Spójrzmy na Google, właściciela najpopularniejszego mobilnego systemu operacyjnego na świecie – Androida. Oni zaproponowali rozwiązanie problemu. Opracowali system oparty na emulacji Secure Element, na urządzeniu, które go fizycznie nie posiada. Nazywa się to HCE (Host Card Emulation) i sprawia, że telefon komórkowy zachowuje się jak inteligentna karta. Dzięki temu można użyć telefonu komórkowego np. do płatności w sklepie zamiast karty zbliżeniowej.
Na tej podstawie można by pomyśleć, że rozwiązanie Androida jest punktem zwrotnym, który sprawi, że płatności mobilne będą dostępne dla każdego, nie tylko posiadaczy telefonów firmy Apple. Jednakże, jeśli zagłębimy się w szczegóły okaże się, że wcale tak być nie musi. Android jest powszechnie uważany za system mobilny o największej liczbie wirusów – w niedawnym badaniu firmy Symantec stwierdzono, że 1 na 5 aplikacji na Androida zawiera szkodliwe oprogramowanie. Rozwiązanie HCE jest oparte na oprogramowaniu i jest dostępne z systemu operacyjnego poprzez wiele różnych wywołań API. Jeśli wyciągnęliśmy jakiekolwiek wnioski z ostatnich cyberataków, to przede wszystkim ten, że wszystko co działa w oparciu o oprogramowanie jest podatne na ataki.
Bank innowacyjności
Co więc można zrobić? Aktualnie odpowiedzialność za nieautoryzowane transakcje spoczywa na podmiocie wydającym kartę, najczęściej jest nim bank. W rezultacie banki starają się, aby użytkownicy korzystali z ich aplikacji i płacili bezpośrednio ze swojego konta, pomijając pośrednika.
Aby taka taktyka odniosła skutek projektanci tych aplikacji muszą wziąć pod uwagę zarówno zachowanie użytkownika jak i możliwości technologiczne – z powodów szczegółowo opisanych powyżej. Równie istotna jest identyfikacja pozapasmowa (out-of-band) oraz zastosowanie dodatkowych wskaźników automatycznie informujących o przeprowadzaniu podejrzanych transakcji, jednocześnie nie obniżając jakości użytkowania urządzenia. Dla przykładu, aplikacja do płatności mobilnych powinna być w stanie monitorować stan urządzenia oraz skanować go pod kątem złośliwego oprogramowania lub innego podejrzanego zachowania, które może manipulować procesem HCE, aby wykraść dane. Aplikacja powinna wtedy przesłać te informacje przez internet poza procesem płatności do wydawcy aplikacji. Tutaj ważność transakcji może być określona na podstawie historycznych wzorców użytkowania, metody „device fingerprinting” i tak dalej.
Niezależnie od wybranego sposobu lub rozwiązania, zaawansowane płatności mobilne to innowacja, w której należy sporą wagę przyłożyć do osiągnięcia pewności, że korzystanie z niej będzie bezpieczne.
Ireneusz Wiśniewski
F5 Networks
Wojciech Boczoń
