Прошедшая в Калифорнии презентация новых смартфонов и смарт-часов Apple традиционно разделила основную часть наблюдателей на несколько противоборствующих лагерей под привычными знаменами «Apple уже не та», «Мы все это уже видели на Android» и «Shut up and take my money!» и на много недель вперед обеспечила Интернет поводами для споров и обсуждений. Мы же постарались абстрагироваться от всего этого, забыть про новые процессоры и диагонали экранов и взглянуть на новинки исключительно с точки зрения информационной безопасности, тем более что повод на этот раз самый что ни на есть достойный: Apple наконец-то анонсировала свою собственную платежную систему Apple Pay, работающую в связке с NFC-чипом и сенсором Touch ID. А это означает, что в скором времени злоумышленники будут охотиться уже не за вашими фотографиями и личными данными, а за вашими деньгами.
Apple Pay (да, теперь, судя по всему, «i» в названиях новых продуктов встречаться не будет) — это система мобильных платежей, объединяющая не только принцип передачи и получения платежной информации, но и несколько технологических решений. Сюда входят и пресловутый NFC-чип, встроенный в новые iPhone и Apple Watch, и дактилоскопический датчик Touch ID, и приложение Passbook, появившееся еще два года назад в шестой версии iOS.
Если верить презентации, оплата в офлайне при помощи Apple Pay будет осуществляться так же, как это происходит сейчас с пластиковыми картами PayPass и PayWave: достаточно на пару мгновений поднести содержащий NFC-чип предмет к платежному терминалу и подтвердить покупку. В случае с картами подтверждением выступает PIN-код, владельцам iPhone 6/6+ придется приложить пальчик к сканеру Touch ID, а обладателям смарт-часов достаточно будет просто взмахнуть запястьем рядом с терминалом. Однако, в отличие от бесконтактных пластиковых карт, в основе Apple Pay лежит несколько более совершенный и безопасный механизм обмена данными.
Устроен он, впрочем, довольно просто и понятно. Владелец банковской карты сканирует ее при помощи смартфона, занося таким образом информацию о карте в приложение Passbook, после чего данные шифруются, а на их основе генерируется специальный токен — уникальный код, привязанный к конкретной карте и конкретному же устройству. Именно этот код, хранящийся в отдельном чипе, используется в качестве платежной информации при совершении покупки посредством Apple Pay как в онлайне, так и в офлайне.
Такой подход удобен и безопасен по двум причинам. Во-первых, ни магазин, в котором совершается покупка, ни мошенники, теоретически способные перехватить транзакцию, не получат при оплате доступ к реальным данным кредитки: при самом удачном раскладе это будет лишь уникальный токен. Во-вторых, даже в случае компрометации токен не будет представлять никакой ценности и не сможет быть использован для оплаты чего-либо в отрыве от определенного девайса, который, в свою очередь, даже будучи украденным, не инициирует оплату без подтверждения отпечатком пальца или, вероятно, PIN-кодом. В любом случае потерянное или украденное устройство всегда можно оперативно заблокировать при помощи сервиса Find My iPhone, попутно удалив из памяти все платежные данные.
Действительно ли безопасна такая система? Эксперт «Лаборатории Касперского» Дмитрий Бестужев считает, что не всегда: «Сенсор Touch ID не всегда работает корректно, поэтому Apple реализовала возможность ввода PIN-кода. Именно этот нюанс и может быть использован злоумышленниками». Кстати, учитывая тот факт, что при оплате с помощью часов Apple Watch подтверждение отпечатком не требуется вовсе, вопрос безопасности встает еще более остро.
Стоит ли доверять платежной системе Apple, основанной на не всегда работающем сканере отпечатков?
Tweet
Еще одно опасение вызывает принцип хранения исходных данных банковских карточек. Как известно, практически вся информация, хранящаяся в памяти iOS-устройств, может автоматически синхронизироваться с другими девайсами. Причем речь с недавних пор идет не только об относительно безобидных фотографиях и закладках браузера, но и о паролях, хранящихся в приложении Keychain. Если данные кредиток или токены будут «расшариваться» между устройствами таким же образом, то шансы потерять деньги автоматически возрастают. Кроме того, никто не отменял и несанкционированный доступ непосредственно в Passbook: после того как преступник получит в свое распоряжение смартфон, у него появляется шанс вскрыть содержимое приложения и добраться до нужных данных.
В общем, механизм работы Apple Pay выглядит достаточно надежным и безопасным, однако тот факт, что данные для платежа будут храниться в смартфоне (а может быть, еще и в «облаке»), вызывает вполне обоснованные опасения. Впрочем, хочется верить, что Apple предусмотрела эффективные защитные механизмы. Так это или нет, мы узнаем совсем скоро: Apple Pay начнет функционировать в США уже в октябре этого года и наверняка сразу попадет под микроскоп хакеров всех мастей.