Ieri MasterCard a lansat un comunicat de presă potrivit căruia o serie de telefoane sunt certificate pentru plăţile NFC, contactless, plăţi despre care am scris cât de sigure sunt.
Bineînţeles că nu era nevoie de nicio certificare întrucât orice terminal cu NFC poate fi folosit pentru astfel de plăţi. Dar de ce să nu inventăm noi încă o emblemă pentru tipul ăsta de plată, nu că n-ar fi destule, şi de ce să nu mai încasăm noi ceva bani de la producători pentru a avea o astfel de certificare?
Cineva spunea că MasterCard certifică faptul că plăţile sunt sigure cu aceste terminale, însă nu e deloc aşa – nu sunt nici sigure şi nici nu certifică acest lucru. În comunicatul de presă spun asta:
MasterCard Worldwide today announced several near field communications (NFC) enabled smartphones have been certified for use with MasterCard PayPass® technology, providing consumers with devices capable of making fast, secure contactless payments at hundreds of thousands of PayPass merchant locations around the globe.
By working closely with standards bodies including EMVCo and the NFC Forum, MasterCard continues to lead the industry in testing and certification processes for mobile payment devices. Devices certified by MasterCard go through a rigorous testing process by a MasterCard-accredited laboratory to ensure devices are functionally reliable and interoperable.
Practic ei se asigură prin aceste teste că plăţile funcţionează, că sistemele comunică bine între ele. Dacă e să vorbim de securitate, atunci avem mai multe aspecte (componente) pe care cei de la MasterCard nu au cum să le testeze pe toate:
1. plata în sine, ce nu este chiar atât de sigură – vezi de ce
2. Telefonul, pentru a putea face o plată prin NFC, are nevoie de o aplicaţie care să ştie să facă acest lucru. Ori pentru a testa aplicaţia nu este chiar atât de simplu deoarece trebuie văzut ce date stochează, cum le stochează, în ce format, modul de criptare (dacă există), modul de comunicare cu un alt server (dacă există)
3. Dacă e să vorbim de o aplicaţie ce trebuie să comunice şi cu un alt server, aşa cum e Google Wallet, pentru a lua informaţii despre cardul prepaid, atunci intervine şi reţeaua de telefonie – conexiunea la reţeaua operatorului e sigura? sunt criptate datele?
4. Alte aplicaţii pot influenţa şi ele, mai ales dacă vorbim de un telefon cu drepturi de root, întrucât oricând o altă aplicaţie poate captura informaţiile din aplicaţia de plată
E simplu să spunem că tranzacţia e sigură, fără a ne gândi la toate aspectele.
No Comments » 
