Алексей КУТОВЕНКО
Бесконтактные мобильные платежи входят в моду. Дальнейшим развитием технологии являются виртуальные карты, эмулируемые непосредственно на мобильных гаджетах. Правда, безопасность таких решений по-прежнему остается предметом для дискуссий.
По прогнозам специалистов MasterCard, к 2020 году число ежегодных транзакций, совершаемых бесконтактным способом, достигнет 200 млрд. За место на перспективном рынке борются технологии, отличающиеся подходами к решению схожих задач.
Чипы NFC (Near Field Communication) активно используются в современных мобильных гаджетах. Они обеспечивают возможность связи с терминалами бесконтактной оплаты, позволяя проводить платежи непосредственно с помощью гаджетов, без выпуска специальной карточки. В первую очередь такое решение удобно для пользователей. Поскольку в данном случае не нужна сдача и не требуется дополнительная авторизация клиента с помощью PIN-кода, использование NFC особенно актуально в заведениях быстрого обслуживания, в торговых точках, размещенных в местах проведения массовых мероприятий. Платежи посредством таких чипов применяются в гостиничном бизнесе, на спортивных объектах.
Технология NFC рассматривалась прежде всего как инструмент упрощения безналичных платежей, поэтому логичным развитием идеи стала попытка отвязать мобильный гаджет от конкретной банковской карты. Решить эту задачу призвана новая технология — HCE (Host-based Card Emulation). Впервые она появилась в смартфонах Blackberry, однако начала активно распространяться только после внедрения ее поддержки в операционную систему Android 4.4.
Технология HCE позволяет эмулировать данные платежной карты. В результате они могут храниться не только на специальном чипе, как в NFC, но и на карте памяти самого гаджета или даже в хранилище облачного сервиса. Предполагается, что в сочетании с внедрением в мобильные устройства биометрических датчиков это позволит значительно упростить расчеты и будет способствовать дальнейшему развитию электронной коммерции. О поддержке HCE уже объявили платежные системы Visa и MasterCard.
Основная мишень для критики HCE — небезопасность платежей и собственно персональных данных. Угроза обусловлена самим фактом хранения конфиденциальной информации на мобильном устройстве. После получения прав суперпользователя (рута) на Android-устройстве открывается доступ к защищенным данным, в том числе к файлам, содержащим информацию об эмулированных банковских картах.
Вредоносные программы, способные получить права суперпользователя, хоть и весьма редки, но уже получили определенную известность. В частности, RootSmart — вирус, обнаруженный еще в 2012 году. Да, он был опасен только для старых версий Android, однако ранее в подобных вредоносных программах просто не было необходимости. В случае широкого распространения HCE можно ожидать и всплеска активности злоумышленников, заинтересованных в разработке вирусов. Кроме того, мобильный гаджет может быть украден или потерян, а физический доступ к нему значительно упрощает взлом. В результате можно лишиться не только гаджета, но и денег с эмулированных карт.
Сторонники новой технологии утверждают, что HCE не менее безопасна, чем решения, хранящие данные на специализированных чипах, и все опасения пользователей связаны в основном с недостаточно глубоким знанием устройства HCE. В частности, подчеркивается, что данные, необходимые для завершения транзакции, поступают с сервера системы на устройство непосредственно при взаимодействии гаджета с терминалом торговой точки. Даже если произошел взлом или гаджет был утерян, компрометируется не аккаунт целиком, а только отдельные транзакции. В результате злоумышленник может получить только небольшую сумму, но при этом он сильно рискует. По мнению разработчиков, это должно снизить интерес криминала к HCE.
Для банков использование HCE означает не только увеличение безналичного оборота, но и новые затраты на поддержание системы. Запрашивать данные эмулированной карты могут и установленные пользователем приложения. Сама технология HCE не может проверить качество таких приложений и добросовестность их разработчиков, поэтому ошибки или некорректные действия приложений являются потенциальным источником опасности. Как следствие, банкам придется брать на себя дополнительную работу по проверке приложений, запрашивающих доступ к сведениям на картах клиентов, на соответствие нормам безопасности.
В любом случае рынок бесконтактных платежей будет развиваться, однако очевидно, что сторонникам продвижения HCE нужно будет приложить немало усилий, чтобы убедить клиентов в безопасности новой технологии.
Опубликовано: “Белорусы и рынок” № 41 (1174) 31 октября - 6 ноября 2015 г.
Комментариев нет:
Отправить комментарий