Comments 30
стандартный комментарий про дискриминацию владельцев root устройств
Стойте, т.е. на CM (или любой не офф. прошивке) работать не будет?
Тогда пичалька :( На моем текущем аппарате ничего официального выше 4.3 не ожидается в принципе.
Больше никогда не буду покупать Самсунги и HTC.
Тогда пичалька :( На моем текущем аппарате ничего официального выше 4.3 не ожидается в принципе.
Больше никогда не буду покупать Самсунги и HTC.
про Карту Билайн с ее NFC-платежами тоже так писали.
просто этот пункт надо читать как «если мы сможем определить что у вас root». а это проблема лечится RootCloak или в тяжелых совсем случаях — RootCloak+(правда другая проблема в том что RootCloak+ не установить на Android 5.x)
с другой стороны например «Кошелек» от Cards Mobile при виде root просто говорит что мы не можем отвечать за безопасность, бла-бла но вполне себе работает
просто этот пункт надо читать как «если мы сможем определить что у вас root». а это проблема лечится RootCloak или в тяжелых совсем случаях — RootCloak+(правда другая проблема в том что RootCloak+ не установить на Android 5.x)
с другой стороны например «Кошелек» от Cards Mobile при виде root просто говорит что мы не можем отвечать за безопасность, бла-бла но вполне себе работает
Ждём взломанного Visa QIWI Wallet… Вообще надо поковырять — как оно на наличие root-а проверяет? Скорее всего с помощью xposed framework можно будет обойти это дело, даже не модифицируя оригинальное приложение.
Xposed + RootCloak в помощь.
Сами по себе root-привеллегии предоставляют доступ к данным, изначально
не доступным пользователю и сторонним приложениям. Вредоносное
приложение на root-телефоне может добраться например до переписки
в gmail или whatsapp, и переслать их
атакующему, просто потому-что они лежат там в чистом виде и не считаются
sensitive-данными.
Особеность бесконтактных платежей — простота обращения с «платежным
модулем»(карта, телефон), нужно просто прислонить его к терминалу. В
приложении поведение отличается: нужно разблокировать телефон прежде чем
провести платеж, это сделано для того, чтобы избежать неправомерного
снятия средств. Минимальный вектор атаки в таком случае — на рутованном
телефоне зловред программным методом разблокирует экран и сведет защиту
бесконтактных платежей к нулю. Злоумышленник прислонит терминал к
телефону и проведет платеж. Для тех у кого нет под рукой платежного
терминала, были исследования перехвату NFC сигнала используя т.н. NFC-proxy.
Т.е. опасности в контексте HCE — это неправомерная активация модуля NFC,
который эмулирует уникальные данные карты.
Говоря про пользователей, их можно разделить на пару типов, одни из
которых понимают возможности, которые открывает root, для других это
средство избавится от предустановленных приложений, или потому, что это
круто, так как у соседа телефон тоже зарутован.
Закрывая возможность работы под root, мы защищаем обычных пользователей, не
подозревающих о возможностях атак на их карточные данные.
P.S. личное, не официальное:
Более
прошаренный пользователь может отключить запрет по инструкциям, которые
появились в сети уже через пару недель после официального релиза
приложения. Защититься от этого практически невозможно.
не доступным пользователю и сторонним приложениям. Вредоносное
приложение на root-телефоне может добраться например до переписки
в gmail или whatsapp, и переслать их
атакующему, просто потому-что они лежат там в чистом виде и не считаются
sensitive-данными.
Особеность бесконтактных платежей — простота обращения с «платежным
модулем»(карта, телефон), нужно просто прислонить его к терминалу. В
приложении поведение отличается: нужно разблокировать телефон прежде чем
провести платеж, это сделано для того, чтобы избежать неправомерного
снятия средств. Минимальный вектор атаки в таком случае — на рутованном
телефоне зловред программным методом разблокирует экран и сведет защиту
бесконтактных платежей к нулю. Злоумышленник прислонит терминал к
телефону и проведет платеж. Для тех у кого нет под рукой платежного
терминала, были исследования перехвату NFC сигнала используя т.н. NFC-proxy.
Т.е. опасности в контексте HCE — это неправомерная активация модуля NFC,
который эмулирует уникальные данные карты.
Говоря про пользователей, их можно разделить на пару типов, одни из
которых понимают возможности, которые открывает root, для других это
средство избавится от предустановленных приложений, или потому, что это
круто, так как у соседа телефон тоже зарутован.
Закрывая возможность работы под root, мы защищаем обычных пользователей, не
подозревающих о возможностях атак на их карточные данные.
P.S. личное, не официальное:
Более
прошаренный пользователь может отключить запрет по инструкциям, которые
появились в сети уже через пару недель после официального релиза
приложения. Защититься от этого практически невозможно.
прошаренный пользователь может отключить запрет по инструкциям, которые
появились в сети уже через пару недель после официального релиза
приложения. Защититься от этого практически невозможно.
Мне проще не пользоваться.
А для пользователя достаточно огромными красными буквами показывать, что данные не защищены. Ну и строчка в eula как все любят, что сами виноваты мы 100% предупредили
А когда ограничение на количество городов снимете? Я допустим не прочь бы у себя в KFC, макдаке, Ленте платить — но три города, это как-то уныло.
Почему в ролике платеж на 30р требует ввода PIN на смартфоне (CDCVM), а потом платеж в 200р не требует?
Чем ваше решение технически и функционально отличается от MasterCard+Cardsmobile?
Чем ваше решение технически и функционально отличается от MasterCard+Cardsmobile?
Все равно неудобно. Я должен сначала положить деньги на Киви-кошелек вместо того, чтобы платить в кредит, как это делаеся при оплате обычной кредитной картой. Да, можно привязать свою кредитку, но тогда надо платить комиссию «0 — 0.75% в зависимости от провайдера». Какого провайдера?? Как узнать этого провайдера?
Почему не взять карту сразу с Paywave, зачем нужна эта прокладка в виде смартфона и киви?
Сейчас по-моему уже у всех банков есть такая опция.
Сейчас по-моему уже у всех банков есть такая опция.
Есть карты со встроенными NFC и дисплеями, правда стоимость их поддержки и изготовления — не для большинства «серой массы», с которой у нас принято иметь дело.
Обычный paypass у Сбербанк 950 рублей в год.
Да, я как раз вспомнил про тот что понавороченней.
Кстати, у Visa экранчик повеселее будет.
Не знаю сколько стоит выпуск подобной карты, правда возможность удалённо смотреть, блокировать и обнулять счета в некоторых латвийских банках специальным GSM брелком стоила довольно дорого (200$ выпуск и 10$ в месяц в 2014'м). Не уверен что подобные поделки имеют отношение к Visa или Mastercard, это скорее особенность европейских банков через которые проводят инвестиции в СНГ :)
Кстати, у Visa экранчик повеселее будет.
Не знаю сколько стоит выпуск подобной карты, правда возможность удалённо смотреть, блокировать и обнулять счета в некоторых латвийских банках специальным GSM брелком стоила довольно дорого (200$ выпуск и 10$ в месяц в 2014'м). Не уверен что подобные поделки имеют отношение к Visa или Mastercard, это скорее особенность европейских банков через которые проводят инвестиции в СНГ :)
Технология Visa codesure, насколько я знаю, у нас не используется. Это карта в основном для США.
Для такой карты, как на видео, нужна дополнительная инфраструктура, включающая в себя промышленный сервер аутентификации. К сожалению, карточный бизнес в России заключается в перепродаже чипов, а не в оказании квалифицированных услуг. Поэтому такие карты в РФ — редкость. Справедливости ради замечу, что карты с дисплеем были замечены у Яндекса(однокнопочная) и, кажется, даже доступны в банке Авангард(многокнопочная).
Для такой карты, как на видео, нужна дополнительная инфраструктура, включающая в себя промышленный сервер аутентификации. К сожалению, карточный бизнес в России заключается в перепродаже чипов, а не в оказании квалифицированных услуг. Поэтому такие карты в РФ — редкость. Справедливости ради замечу, что карты с дисплеем были замечены у Яндекса(однокнопочная) и, кажется, даже доступны в банке Авангард(многокнопочная).
Можно взять и карту с PayWave, но если кошелек с наличными и банковскими картами вы можете забыть дома, то без телефона мы на улицу уже редко выходим))
Я хотел бы аналога MasterPass от Visa, а то тольку от этих железок с NFC не так много, с точки зрения безопасности, а для мерчантов — сплошная головная боль. Вот дискриминация пользователей с root'ом выглядит очень наивно — ничто не запрещает отпатчить что угодно и как угодно. Я считаю что Visa должна быть более открыта, и решения того же MasterCard'a сейчас более привлекательны, не сочтите рекламой — просто моё личное мнение.
Будет ли поддержка iOS и Apple Watch?
Ещё стандартный комментарий про наличие у Киви свинского пункта в оферте о списании денег с неактивных пользователей.
Сама фича супер-удобная, но пока я пару недель искал, где бы расплатиться с телефона (мало кто ещё принимает бесконтактные платежи, даже в Москве), у меня пара сотен и списалась. После первой транзакции спустя некоторое время деньги вернулись, но осадок остался.
Сама фича супер-удобная, но пока я пару недель искал, где бы расплатиться с телефона (мало кто ещё принимает бесконтактные платежи, даже в Москве), у меня пара сотен и списалась. После первой транзакции спустя некоторое время деньги вернулись, но осадок остался.
Простите за оффтопик, как же неудобно что верстка рекламных статей столь разительно отличается от обычных (хорошо что отличается, но как-то слишком).
Уважаемые VISA и Qiwi. Вы написали хороший пост, но совсем не отвечаете на вопросы в комментариях. Почему?
Sign up to leave a comment.
Как платить телефоном по карте Visa. Бесконтактные платежи в деталях