(Advertencia de publicación larga);
(En esta publicación, utilizo "NFC" como abreviatura del sistema establecido (anterior a Apple Pay) utilizado por las tarjetas de crédito y los bancos existentes para pagos inalámbricos de corto alcance (menos de 10 cm), creo que es ISO/IEC 14443) .
(Creo que) Entiendo cómo funciona NFC para pagos: en el caso de las tarjetas preparadas para NFC (que tienen el logotipo similar a Wi-Fi), un chip cerrado y seguro contiene una copia de la información de su tarjeta de crédito. , una terminal de pago NFC interroga su tarjeta (usando un principio similar a RFID), y la terminal obtiene sus datos y luego emite el cargo al procesador de pago del comerciante y eso es todo.
Hasta ahora, tan sencillo: NFC es solo otra forma de obtener los detalles de su cuenta de su tarjeta de crédito física, al igual que la banda magnética o el chip EMV. Una vez que el terminal tiene los detalles de su tarjeta (número de tarjeta, vencimiento, etc.), no importa para el comerciante cómo obtuvo esos detalles; podrían haberse enviado manualmente al ingresar físicamente los números grabados en la tarjeta.
Sin embargo, entiendo que el NFC "estándar" para pagos, de forma predeterminada, es un análogo de la banda magnética, ya que solo lee una copia directa de los detalles de la tarjeta: el chip NFC no genera ninguna tarjeta de un solo uso. número o incluso subvertir el sistema de tarjetas de crédito con su propio sistema de cuenta/monedero digital. También entiendo que NFC, de forma predeterminada, no emplea ningún cifrado por aire ni siquiera un sistema de desafío-respuesta, lo que significa que es hipotéticamente posible ejecutar un lector de mano en los bolsos y bolsillos de los abrigos de las personas para robar cantidades de bajo valor[ 1] de tarjetas NFC "tontas", o un atacante podría ocultar un detector de NFC junto a un terminal NFC para capturar datos NFC en pleno vuelo[2]. Eso es preocupante. Me pregunto cómo el sistema NFC fue autorizado por Visa, Mastercard, AMEX y otros dado lo inseguro que es.
Recientemente, pero mucho antes de que se anunciara Apple Pay, los teléfonos Android tenían la funcionalidad NFC que permitía a los usuarios clonar los detalles de sus tarjetas de crédito en el chip NFC y luego usar el teléfono habilitado para NFC como tarjeta sustituta en las terminales de pago NFC. Suponiendo que se sigan aplicando los mismos problemas de seguridad que afectan a NFC, supongo que no es de extrañar que Apple no haya incluido una función NFC en el iPhone, al menos inicialmente.
Apple Pay usa el mismo protocolo NFC, por lo que puede usar Apple Pay con cualquier terminal NFC. Apple quería hacerlo más seguro, pero no podían encriptar la señal OTA porque eso rompería la compatibilidad con los terminales NFC existentes, por lo que agregaron seguridad al no enviar los detalles originales de la tarjeta de crédito sin procesar, sino que Apple Pay en el propio iPhone genera y envía un número de tarjeta de crédito único y de un solo uso, que luego se transmite a través de NFC. Esto es para que si la transmisión de radio fuera interceptada, el atacante no tendría ningún uso para los detalles (porque si el número de la tarjeta de un solo uso ya se cargó, no podría volver a cargarlo, y si consiguieron su cargo primero entonces el comerciante de buena fe vería rechazado su cargo y podría disputarlo de inmediato).
Debido a que Apple Pay se convierte en su propio sistema sobre otro sistema (porque Apple controla los números de tarjetas de crédito de un solo uso), esto significa que deben exigir a los bancos de los clientes que acepten unirse a su sistema de forma individual (por lo que los sistemas del banco puede acomodar los números de tarjetas de crédito de un solo uso de Apple) - esto explica el lento despliegue de Apple Pay, y también explica por qué pueden justificar pedir un recorte del 0,15% de cada transacción: porque están agregando valor con el agregado la seguridad de su sistema de un solo uso.
Pero, ¿cómo funciona Apple Pay en el back-end, entre el terminal NFC y la propia cuenta de la tarjeta de crédito del cliente? El comerciante recibe el número de tarjeta de crédito de un solo uso y presumiblemente aún lo procesaría de la misma manera que maneja un número de tarjeta de crédito normal: lo pasa a su procesador de pagos, quien luego carga la red (Visa, MasterCard o AMEX), quien a su vez cobra al banco del cliente/proveedor de la tarjeta de crédito... pero ¿cómo puede cualquiera de los involucrados saber cuáles son los detalles originales de la cuenta de crédito de los clientes? Apple es quien genera estos códigos de un solo uso. Entiendo que los números de tarjetas de crédito incluyen el identificador del banco de origen (motivo por el cual todas mis tarjetas del mismo banco comparten sus 8 dígitos iniciales), por lo que el sistema Apple Pay genera un código de un solo uso dentro del número de banco del cliente -espacio (es decir
Si Apple usa el prefijo del banco del cliente, entonces el banco recibe el cargo directamente y Apple no es un intermediario de pago; todo lo que hace Apple Pay es generar un número de un solo uso. Apple no tendría forma de saber cuánto dinero se cobró realmente y, por lo tanto, podrían ser estafados con el recorte del 0,15% que están pidiendo. Este sistema requeriría alguna forma de traducir los códigos de un solo uso a los detalles reales de la cuenta; supongo que Apple proporciona eso a los bancos a través de un canal lateral de back-end.
Sin embargo, si Apple usa su propio prefijo bancario, significa que cada transacción pasa por el sistema de Apple: tendrían acceso a los detalles de cada transacción y formarían un perfil de hábitos de compra para todos sus usuarios. También podrían saber exactamente qué montos se están gastando y reclamar su reducción del 0,15% y mantener en secreto el mapeo de los detalles de la tarjeta de un solo uso; luego enviarían el cargo al banco del cliente.
...ninguna de las anteriores me parece una solución particularmente ideal.
Así que llegué a la conclusión de que Apple Pay es un "parche" para NFC, ya que NFC en sí mismo es un complemento inseguro para un sistema ya obsoleto (ese es el concepto de detalles de tarjetas reutilizables).
Así que pregunto, cuando se introdujo originalmente NFC, ¿por qué no introdujeron y exigieron detalles de pago de un solo uso (administrados por los bancos o la red de pago directamente, en lugar de un tercero)? Y no habría sido una exageración usar también un sistema de encriptación OTA de desafío-respuesta o (un razonablemente preparado para el futuro); esto habría obviado por completo la necesidad de Apple Pay.
Ahora, si resulta que NFC ya tiene encriptación OTA y los bancos ya admiten detalles de un solo uso[3] (¿no es eso lo que hace EMV de todos modos?), ¿Qué valor agrega Apple Pay?
¿Es esto el resultado de que las redes de tarjetas establecidas (Visa, MasterCard, AMEX, etc.) son tan resistentes al cambio que prefieren agregar nuevas características que heredan la inseguridad del sistema subyacente y/o la incompetencia técnica que permitió que un sistema inseguro como NFC implementarse en producción, y sin al menos presionar para el cifrado OTA como un parche después del lanzamiento? Es un misterio que, dada la gran cantidad de dinero que reclaman las redes de tarjetas (¿y adónde va todo eso?), que no las veamos trabajando en sus propias plataformas innovadoras o disruptivas... es una obviedad.
[1] Entiendo que, en muchos lugares, los montos de cargo de NFC por debajo de un cierto umbral, digamos $ 20 o £ 10, no requieren un PIN para la autenticación de autorización de cargo, aparentemente para acelerar la experiencia del cliente al realizar compras pequeñas, como una taza de café o un billete de tren.
[2] Y dada la calidad de producción y la atención al detalle de los skimmers de tarjetas de cajero automático actuales, es muy posible que los delincuentes organizados puedan diseñar skimmers NFC aún más difíciles de encontrar, dado que solo se requiere una antena de recepción pasiva y un microcontrolador. + placa de memoria.
[3] Recuerdo haber leído acerca de algunos bancos hace unos años que generaban números de crédito de un solo uso para que los clientes los usaran para comprar en línea, aunque esta es una función por banco que no es inherentemente compatible con las propias redes de tarjetas de crédito.
Creo que te estás perdiendo un punto importante: NFC no solo se usa para pagos. Es un protocolo general ("Near-Field Communication") que se supone que proporciona una fácil conectividad entre dispositivos adyacentes.
Como tal, el cifrado/seguridad integrados son contraproducentes de la misma manera que el cifrado/seguridad integrados son contraproducentes en IP: está forzando algo de una capa superior a una capa inferior. Las aplicaciones que usan NFC pero no necesitan esta seguridad adicional pagarán una penalización innecesaria.
Aquí vienen proveedores como Apple Pay, Android Pay, Samsung Pay y otros. Proporcionan aplicaciones que utilizan NFC para fines específicos. Y proporcionan la seguridad necesaria para tal fin.
Los bancos son bienvenidos a introducir sus propias aplicaciones, pero carecen de la base de clientes para que sea lo suficientemente amplia como para que los proveedores de POS las incluyan. Visa/Mastercard ya tienen sus propias soluciones de "campo cercano" que están integradas en las propias tarjetas y no están necesariamente interesadas en competir con gigantes del software como Apple o Google en sus campos. Los fabricantes de teléfonos también carecen de una base de clientes lo suficientemente amplia (con la excepción de Samsung, que es muy popular y, como resultado, puede implementar su propio sistema de pago; creo que están asociados con Visa).
Si Apple usa el prefijo del banco del cliente, el banco recibe el cargo directamente y Apple no es un intermediario de pagos.
Sí, como parte de agregar una tarjeta a Apple Pay, los detalles se envían al banco emisor junto con los detalles del dispositivo y otra información. Según la verificación, el banco envía un DAN [Número de cuenta del dispositivo] y otros códigos.
Después de mostrar su teléfono en el punto de venta, se transmite DAN. Esto es similar a la transmisión del número de tarjeta, hay información adicional codificada. Luego, Visa envía esto de regreso al banco emisor y, según el DAN, se carga la tarjeta real.
Entonces, sí, Apple no conoce su número de tarjeta una vez que obtiene el DAN.
es muy posible que los delincuentes organizados puedan diseñar skimmers NFC aún más difíciles de encontrar
En este momento, los delincuentes han encontrado el paso fácil... como parte de la configuración, Apple Pay envía información al banco emisor para verificar. Si es un usuario frecuente de iTunes y ha usado la misma tarjeta durante años, etc., se aprueba automáticamente. De lo contrario, usan un método alternativo, es decir, llaman al cliente, etc. Aquí es fácil generar. Obtengo los detalles de la tarjeta, no necesito perder tiempo duplicando cosas [mag o chip]. Simplemente intente registrarse en Aplicar Pago, alguien menos experimentado de Servicio al Cliente llama y me aprueban. Use esto para algunos lugares y luego simplemente elimine esta tarjeta y agregue una nueva. Como Apply Pay no almacena mi tarjeta, no saben lo nuevo de lo viejo...
NFC "estándar" para pagos... lee una copia directa de los detalles de la tarjeta... no genera ningún número de tarjeta de un solo uso... no emplea ninguna encriptación inalámbrica o incluso un desafío -sistema de respuesta [?]
El proceso normal de pago sin contacto implica firmas criptográficas específicas de la transacción.
Sin embargo, el proceso que se utiliza depende del equipo del proveedor y del esquema (Visa, Mastercard, Amex, ...)
Un "modo de banda magnética", si se admite, permite leer el número de tarjeta y la fecha de caducidad.
Hay una buena descripción en Level2Kernel que cubre "Modo de banda magnética" y "Modo EMV", etc. para cada esquema (Mastercard, Visa, etc. hacen las cosas de manera diferente).
tarjeta MasterCard
Las transacciones de MasterCard sin contacto se pueden realizar en el modo EMV o en el modo de banda magnética . Después de que Entry Point ha iniciado una transacción, MasterCard Kernel emite un comando Obtener opciones de procesamiento. En la respuesta de la tarjeta, un objeto de datos denominado Perfil de intercambio de aplicaciones (AIP) determina si la transacción continuará en el modo EMV o en el modo de banda magnética. El AIP también determina si se admite la "verificación del titular de la tarjeta en el dispositivo" (CDCVM).
Modo EMV (M/Chip)
Los comandos intercambiados con la tarjeta para el modo EMV se parecen mucho a los que se usan para una transacción de contacto EMV, con comandos de lectura de registro que se usan para recuperar todos los datos de la tarjeta, seguidos de una solicitud de generación de criptograma de aplicación (GENAC) para obtener una transacción única y específica. , criptograma de la tarjeta . Una vez que se hayan completado todos estos intercambios, la tarjeta se puede retirar del campo de RF. Sin embargo, a diferencia de las transacciones de contacto, no todo el procesamiento de transacciones ocurre antes de que se hayan completado los intercambios de tarjetas. Esto es para optimizar el rendimiento de la transacción sin contacto al reducir la cantidad de tiempo que se requiere que la tarjeta permanezca en el campo de RF.
(mi énfasis)
Según VISA Reino Unido
Nuestra tecnología utiliza el chip de su tarjeta para generar criptogramas únicos (es decir, un tipo de rompecabezas que consiste en una pequeña pieza de texto encriptado o codificado) y firmas digitales para proteger sus pagos. Las firmas digitales son como las firmas manuscritas en algunos aspectos, pero son mucho más difíciles de falsificar.
(mi énfasis)
Según la Asociación de Tarjetas del Reino Unido
Rumor : Un estafador puede robar mis datos de mi tarjeta sin contacto.
Realidad : Tienes que estar muy cerca de alguien para que su dispositivo pueda leer tu tarjeta, e incluso entonces todo lo que obtendrían es el número de tarjeta y la fecha de caducidad. Esa es la misma información que ve simplemente mirando el frente de cualquier tarjeta. No hay forma de que alguien pueda obtener el código de seguridad en el reverso de la tarjeta, su nombre y dirección, o los detalles de la cuenta bancaria. La gran mayoría de los minoristas en línea requieren detalles adicionales como estos y otros para realizar una compra.
Sin embargo, según un informe del periódico The Guardian del 2015-07-25:
Los investigadores compraron escáneres de tarjetas baratos y ampliamente disponibles en un sitio web convencional para ver si podían "robar" detalles clave de una tarjeta sin contacto.
Probaron 10 tarjetas de crédito y débito diferentes, que debían codificarse para "enmascarar" datos personales, y pudieron leer datos cruciales que debían ocultarse.
Luego fue de compras con la información que había obtenido y pudo realizar con éxito pedidos de artículos, incluido un televisor de 3.000 libras esterlinas.
Así que sí, incluso en el mundo civilizado, nuestra seguridad se ve socavada por una combinación de:
¿Cómo funciona Apple Pay?
Consulte Apple Pay debe usar el modo de banda magnética de las especificaciones sin contacto de EMV
Claramente, Apple Pay debe seguir las especificaciones EMV contactless de los libros C-2, C-3 y C-4 para transacciones de MasterCard, Visa y American Express respectivamente. Más específicamente, debe estar siguiendo lo que llamé anteriormente el "perfil de teléfono móvil" de las especificaciones sin contacto. Debe estar implementando el modo de banda magnética sin contacto, ya que la infraestructura de banda magnética aún prevalece en los EE. UU. Es posible que implemente o no el modo EMV sin contacto hoy, pero probablemente lo implementará en el futuro a medida que la infraestructura para admitir pagos con tarjetas de contacto se incorpore gradualmente durante el próximo año en los EE. UU.
pequeñoadv
mhoran_psprep
Bobson
aakashM