Новая технология мобильных платежей
Google Wallet представляет собой шаг вперед, сообщают эксперты по
безопасности, но в ней все же имеются недостатки, которые могут сделать ее
уязвимой для атак.
Новое приложение для телефонов Android, представленное на прошлой неделе,
хранит платежную информацию в зашифрованном виде. Ключи шифрования хранятся в
специальной аппаратной микросхеме, известной как Secure Element. Продукт
использует технологию NFC
(беспроводной высокочастотной связи малого радиуса действия) для отправки данных
в платежные терминалы, выполняющие операции.
Google Wallet будет представлять собой открытый стандарт, говорят
представители, так что любая компания, продающая товары по кредитным картам,
сможет использовать его для хранения платежных данных.
Исследователи безопасности ожидают, что технология улучшит текущий уровень
защиты операций с кредитными картами.
"Планка обеспечения безопасности операций с кредитными картами достаточна
низка, и трудно представить систему менее безопасную [чем системы кредитных
карт]", - отмечает Чарли Миллер, главный консультант по исследованиям в Accuvant.
"Мое общее мнение заключается в том, что технология Google не может быть хуже,
чем у кредитных карт. Если ты теряешь [кредитную карту] - ты разорен, если
кто-то получает доступ к ней или очень близок к этому, он может скопировать
информацию".
Google Wallet защищает платежные данные используя аппаратное шифрование,
представляемое Secure Element, наряду с шифрованием с открытым ключом и тройным
DES шифрованием. Данный подход не является новым: многие лэптопы снабжены
подобным оборудованием от альянса Trusted Computing, который использует
отдельный процессор для шифрования и хранилище данных для хранения важных
ключей. Доступ к этим ключам можно получить лишь при помощи программы с
надлежащей аутентификацией.
Компания Google подчеркнула, что Secure Element и Trusted Platform Module
являются двумя различными технологиями и имеют различные области применения.
Secure Element запускает Java Card Open Platform (JCOP), популярную операционную
систему смарт-карт, которая может быть использована для добавления
функциональности сохраненным аккаунтам. Доступ к данным в Secure Element
регулируется Trusted Service Manager, заявила проектная группа Google в
интервью.
Пользователь должен ввести четырехзначный PIN-код и поместить свой телефон на
считыватель для выполнения операции. Google сотрудничает с Mastercard и ее
платежной системой PayPass для поддержания технологии. Приложение Wallet имеет
дополнительные меры безопасности кроме тех, что поддерживаются инфраструктурой
Mastercard PayPass. Приложение будет поддерживать связь с приемопередатчиком
лишь только когда экран телефона включен и введен PIN-код, сообщила группа.
"Если пользователь вводит PIN-код неправильно определенное количество раз,
Secure Element выключается и платежные инструменты не могут быть использованы",
- заявила проектная группа Google. "Для получения возможности дальнейшего
использования, Secure Element должен быть перезапущен через Trusted Service
Manager совместно с пользователем. Данный процесс удаляет все раннее запущенные
платежные инструменты".
Google Wallet может повысить безопасность операций, говорит Кевин Махаффи,
технический директор фирмы мобильной безопасности Lookout. "По моему мнению,
электронные кошельки могут помочь нам в обеспечении лучшей безопасности, чем мы
имеем сейчас во время пользования кредитных карт", - поделился он.
Эксперты безопасности предупредили, что проект еще не был проверен в действии
сообществом безопасности.
"Я впечатлен уровнем бдительности Google при обеспечении безопасности
электронного кошелька", - отметил Махаффи из Lookout. "Но я никогда не встречал
технологию, обеспечивающую безупречную встроенную безопасность по умолчанию".
Вредоносные программы могут усложнить восстановление (извлечение) ключей, по
сути осуществляя denial-of-service атаки против платежной системы, отмечают
исследователи. Или вредоносная программа может (теоретически) выйти из песочницы
и перехватить операции.
"Злоумышленники, ориентированные на деньги, не атакуют одного человека, они
атакуют миллионы", - говорит Махаффи. "До тех пор, пока мы не испытаем продукт,
и есть люди, которые им заинтересованы, мы не оценим безопасность в полной
мере".
NFC-транзакции также могут быть атакованы, отмечает Джимми Шах, исследователь
в области мобильной безопасности из фирмы McAfee. Атаке, известной как Ghost and
Leech, уже удавалось получать данные из NFC-оснащенных кредитных карт, которые
находятся в кошельке жертвы, что по сути превращало взломщика в карманного вора.
Такие атаки могут сработать и против Google Wallet, подчеркивает он.
"Недостаток заключается не в чипе", - говорит Шах. "А в самом приложении".
В итоге, возможно, самым большим недостатком в платежной технологии Google на
базе Android является то, что смартфоны регулярно теряются. Более трети
пользователей теряли телефоны или их устройства воровали, согласно отчету,
опубликованному компанией Norton в феврале. Четыре из 10 компаний столкнулись с
потерей или воровством телефонов в прошлом году, согласно исследованию,
проводимому CyLab из Университета Карнеги и финансируемому фирмой безопасности
McAfee.
Если злоумышленнику удастся заполучить телефон, вся уверенность улетучится,
говорят эксперты. В данном случае, Google рекомендует пользователям сообщить о
телефоне и о находящихся на нем кредитных картах как об утерянных.
