Există însă posibilitatea de a o instala chiar dacă nu eşti în US. Nu, nu e prin a avea conexiune de US întrucât, la deschidere, aplicaţia detectează reţeaua de telefonie mobilă în care eşti. Pentru asta trebuie instalată o altă aplicaţie, Market Enabler pe numele ei, ce schimbă reţeaua anunţată, mai exat setează gsm.sim.operator.numeric la un alt cod al ţării şi reţelei. Din păcate pentru asta e nevoie de root. Procedura întreagă de instalare o găsiţi aici – click me.

După ce am rootat telefonul şi instalat Google Wallet, am primit chiar 10$ bonus pentru a-i folosi. Aceşti bani sunt pe un card preplătit virtual, pe care îl puteţi alimenta cu cardul vostru – orice card folosit pentru PayPal va funcţiona. Se pot adăuga inclusiv detaliile de pe un card real, însă momentan Google acceptă doar cardul de la Citi Mastercard US plus ceva Gift card.

Nu prea credeam că va funcţiona vreo tranzacţie deoarece eu pe cardul prepay am dolari americani, iar plata o fac în lei. Ei bine, azi am avut ocazia să testez funcţionalitatea plăţii.

Ştiam că există destul de multe magazine ce au un dispozitiv special pentru plăţile contactless şi, dacă tot am ieşit la cumpărături, am mers până la InMedio. Am cerut un pachet de ţigări şi am specificat că vreau să fac plata prin contactless. Am scos telefonul din standby şi l-am apropiat – bip şi gata!

– A mers?
– Da, acum vă dau chitanţa

WOW! Superb, mai vreau încă un pachet însă acum voi înregistra. Vânzătoarea a fost de acord şi iată ce a ieşit:

Am mai stat puţin de vorbă cu ea şi i-am explicat cum funcţionează, după care asta a fost tot. M-am făcut cu 2 pachete de ţigări pe gratis – mulţumesc Google Chitanţele arată astfel:

Abia după vreo oră am putut vedea exact câţi bani mi-au fost luaţi. Ei bine, rata de schimb e cu mult mai avantajoasă decât cea oficială. Rata oficială e de 3.4110, iar eu am fost tarifat cu o rată de 3.3430 (11.5 RON / 3.44 USD). Din ce am citit, e posibil ca la alte bănci să fie o diferenţă mai mare şi mai bună pentru cumpărător.

Iată şi ceva imagini cu aplicaţia şi tranzacţiile făcute.

Până acum nu mai ştiu alte persoane care să fi făcut asta în România. Mă gândesc să îmi alimentez contul Wallet şi să văd dacă la alte bănci e mai convenabil cursul.

Plăţi plăcute!

Bineînţeles că nu era nevoie de nicio certificare întrucât orice terminal cu NFC poate fi folosit pentru astfel de plăţi. Dar de ce să nu inventăm noi încă o emblemă pentru tipul ăsta de plată, nu că n-ar fi destule, şi de ce să nu mai încasăm noi ceva bani de la producători pentru a avea o astfel de certificare?

Cineva spunea că MasterCard certifică faptul că plăţile sunt sigure cu aceste terminale, însă nu e deloc aşa – nu sunt nici sigure şi nici nu certifică acest lucru. În comunicatul de presă spun asta:

MasterCard Worldwide today announced several near field communications (NFC) enabled smartphones have been certified for use with MasterCard PayPass® technology, providing consumers with devices capable of making fast, secure contactless payments at hundreds of thousands of PayPass merchant locations around the globe.

By working closely with standards bodies including EMVCo and the NFC Forum, MasterCard continues to lead the industry in testing and certification processes for mobile payment devices. Devices certified by MasterCard go through a rigorous testing process by a MasterCard-accredited laboratory to ensure devices are functionally reliable and interoperable.

Practic ei se asigură prin aceste teste că plăţile funcţionează, că sistemele comunică bine între ele. Dacă e să vorbim de securitate, atunci avem mai multe aspecte (componente) pe care cei de la MasterCard nu au cum să le testeze pe toate:

1. plata în sine, ce nu este chiar atât de sigură – vezi de ce

2. Telefonul, pentru a putea face o plată prin NFC, are nevoie de o aplicaţie care să ştie să facă acest lucru. Ori pentru a testa aplicaţia nu este chiar atât de simplu deoarece trebuie văzut ce date stochează, cum le stochează, în ce format, modul de criptare (dacă există), modul de comunicare cu un alt server (dacă există)

3. Dacă e să vorbim de o aplicaţie ce trebuie să comunice şi cu un alt server, aşa cum e Google Wallet, pentru a lua informaţii despre cardul prepaid, atunci intervine şi reţeaua de telefonie – conexiunea la reţeaua operatorului e sigura? sunt criptate datele?

4. Alte aplicaţii pot influenţa şi ele, mai ales dacă vorbim de un telefon cu drepturi de root, întrucât oricând o altă aplicaţie poate captura informaţiile din aplicaţia de plată

E simplu să spunem că tranzacţia e sigură, fără a ne gândi la toate aspectele.

Vorbind de oferte, cea de la BRD este copilăroasă întrucât ei practic emit doar un sticker ce poate fi lipit pe orice vrei tu şi astfel faci plăţi. Dacă suma de plată e până în 100 RON, atunci nu mai este necesar PIN-ul.

– se desprinde cardul miniatural;
– se introduce în suportul de plastic cu numărul de card şi data expirării la vedere;
– se dezlipeşte folia de protecţie de pe suport şi se aplică pe telefon, portofel, MP3 player etc.

La BCR în schimb se emite un card special, ce are incorportată tehnologia contactless şi în plus e stocată şi aplicaţia de plată a biletelor în mijloacele de transport din Bucureşti.

Cardul are CIP încorporat şi aplicaţia contactless. Cumpărăturile în sistem contactless se efectuează pentru valori de maxim 100 lei / tranzacţie.
Cardul are încorporată şi aplicaţia de transport RATB

Cea mai mare problemă e atunci când ţi-ai pierdut cardul şi nu ai observat imediat acest lucru (câţi o fac?). Oricine se poate folosi de el şi efectua plăţi fara a introduce PIN-ul tocmai pentru că nu e cerut la o tranzacţie mai mică de 100 RON. De-a lungul timpului au fost ceva bănci care au încercat să mă convingă cât e de sigur să îmi fac un astfel de card, dar în momentul în care întrebam dacă îmi anulează eventualele plăţi dinaintea anunţării pierderii mi se răspundea sec că nu se poate.

O altă problemă e tocmai tehnologia wireless folosită. Oricine cu un cititor poate citi informatiile de pe card printr-o simplă apropiere. Un cititor de tip contactless costă undeva pe la 60$ cu tot cu transport inclus. În mod normal cardul trebuie să se afle undeva la max 2-3 cm pentru a fi citit, însă se poate construi destul de uşor un dispozitiv cu o putere mai mare astfel încât să meargă şi de la 20 cm de exemplu, mai ales că e o tehnologie always-on.

La conferinţa Shmoocon a fost chiar o prezentare a lui Kris Paget în care vorbeşte despre securitatea cărţilor de credit contactless.

Sunt câteva aspecte importante de reţinut:

1. NFC, contactless, RFID – toate se bazează pe acelaşi lucru

2. Dacă pe telefon putem dezactiva emiterea semnalului, nu acelaşi lucru se întâmplă şi cu un card

3. Nu există un simbol unic pentru a reprezenta tehnologia contactless, astfel încât e posibil să aveţi un astfel de card fără să ştiţi

4. Luate pe rând, cardul, cititoarele, protocolul de comunicaţie între cele 2 sunt oarecum sigure – se poate face reverse engineering însă costurile sunt mult prea mari pentru a merita. Puse împreună la un loc, lucrurile nu mai stau aşa.

5. Atacul s-a făcut foarte simplu: folosind un cititor menţionat anterior, se citesc informaţiile de pe un card contactless. Cititorul îşi face treaba, criptând acest schimb de date dintre el şi card, însă rezultatul de după citire e plaintext. Tocmai la acest lucru se referă faptul că, odate puse împreună, apar probleme de securitate.

6. Un astfel de atac e mult mai simplu: informaţiile sunt citite prin simpla apropiere de o persoană ce deţine un astfel de card, tot ce trebuie să ai e suficientă putere pentru a le citit de la distanţă

7. Mai multe citiri rezultă în mai multe plăţi, cu condiţia ca acestea să se facă exact în ordinea citirii (FIFO). Dacă între timp a fost făcută o plată de către posesorul cardului, atunci toate datele citite anterior devin invalide.

8. Soluţiile de protecţie disponibile pe piaţă sunt o glumă şi nu împiedică cu adevărat citirea

9. La bază, terminalele POS trebuie să ştie de plăţile bazate pe banda magnetică, astfel încât indiferent că e folosit un card contactless sau unul cu cip EMV, totul se reduce în final la banda magnetică – aţi văzut vreun card care să nu aibă această bandă?

10. Sistemul suspendă plăţile contactless dacă sunt făcute mai multe plăţi consecutive către acelaşi comerciant. Am aşa o vagă impresie că la noi nu se întâmplă asta.

Sunt curios dacă aţi descoperit, urmărind prezentarea, că aveţi un card contactless şi nu ştiaţi.