Комментарии 72
Это альтернатива cardsmobile.ru, как понимаю? Альтернативы это хорошо.
Смотря как понимать слово «альтернатива» — если говорить про продукт виртуальных платежных инструментов с NFC – да, если говорить про технику – не совсем, так как в нашем варианте ключи находятся в облаке, а в указанном варианте на девайсе.
У cardsmobile, насколько я понимаю, есть два варианта приложения — для телефонов с eSE и для телефонов с NFC, но без eSE. Во втором случае, ключи вроде тоже в облаке. Или, я где-то ошибаюсь?
Плохо, что у вас — предоплаченная карта Билайн (которую еще и в офисе выпускать надо), а у cardsmobile — карта Русского стандарта (хотя раньше вроде еще Тинькофф был). Т.е. выбирать особо не из чего.
Плохо, что у вас — предоплаченная карта Билайн (которую еще и в офисе выпускать надо), а у cardsmobile — карта Русского стандарта (хотя раньше вроде еще Тинькофф был). Т.е. выбирать особо не из чего.
«При этом на одном телефоне может существовать только одна виртуальная карточка.»
Это временное ограничение или техническое?
Это временное ограничение или техническое?
А почему к карточке MasterCard выпускается виртуальная VISA карта? Я был очень удивлён, когда платил.
При работе с мастером какие-то проблемы или внутренние заморочки?
При работе с мастером какие-то проблемы или внутренние заморочки?
А как обстоят дела с Windows Phone?
У Windows Phone к сожалению сейчас нет такой штуку насколько я понял. Только нужна Sim или sd карта с SecureElement
Совершенно верно, техническая реализация требуется качественно иная.
Были разговоры NFC платежи станут проще и безопаснее
Пока задача не самая приоритетная в связи с низким проникновением ОС, но если потребность пользователей Windows Phon’ов в продукте будет расти – сделаем.
Неужели под кучу версий Андроида пилить выгоднее чем под 1-2 Винды? У меня телефон с закрытой OS и выбираю между An/Win — аппаратами (многосерийный сериал). Очень смущает отсутствие целого ряда приложений под Винду…
PS: сам юзаю МТС, но читаю ваш блог ибо нравится уровень материалов
PS: сам юзаю МТС, но читаю ваш блог ибо нравится уровень материалов
сценарий, когда в метро в плотном потоке людей с виртуальной карты незаметно списывают деньги, прикладывая к карману ридерВозможно ли списывать деньги несколько раз подряд? Как вообще от таких случаев защищёны обладатели карт с PayPass?
Бесконтактная оплата в нашем случае возможна только если у телефона активирован экран (не разблокирован, а хотя бы светится). Таким образом, с телефона, просто лежащего в кармане с выключенным экраном, деньги списать невозможно. То есть защита даже лучше, чем у пластиковой карты с бесконтактным чипом или телефона с NFC-SIM.
Кроме того, для оплаты покупки на сумму более 1000 руб. требуется вводить PIN-код.
В целом же сценарий крайне маловероятный – расстояние на котором работает терминал, не превышает 10 см., через одежду сигнал проходит еще хуже.
Кроме того, для оплаты покупки на сумму более 1000 руб. требуется вводить PIN-код.
В целом же сценарий крайне маловероятный – расстояние на котором работает терминал, не превышает 10 см., через одежду сигнал проходит еще хуже.
У всех телефонов по разному реализовано. Мне казалось (могу ошибаться) что по умолчанию NFC активен только при разблокированном телефоне, а варианты «при включенном экран» и «постоянно» доступны только с рутом.
Зачем людей то пугать? Нельзя «в метро через одежду» списать с любой карты деньги. Во-первых, в реальной жизни все это работает на расстоянии не более 4-5 мм. Во-вторых, для такого «списания» нужно иметь платежный терминал с боевыми ключами платежной системы в режиме платежной транзакции, а значит в 100% случаях выгодоприобретатель определяется однозначно. Проще говоря, это как украсть, а на место украденного положить свои паспортные данные.
При оплате обычным пластиком банк может уведомить кассира о том, что эту карту следует изъять у покупателя по тем или иным причинам. Может ли этот запрос прийти для такой бесконтактной карты?
В приложение билайн интегрировали то что ранее было сделано в Кукурузе?
В принципе не удивительно, разработчик ведь один и тот же.
Единственные приложение которые на текущий момент у меня заработали, бета от cardsmobile как вышла месяц назад так и не работает до сих пор ;-)
В принципе не удивительно, разработчик ведь один и тот же.
Единственные приложение которые на текущий момент у меня заработали, бета от cardsmobile как вышла месяц назад так и не работает до сих пор ;-)
вот когда каждый популярный банк сможет выпустить такую виртуальную карту и привязать ее к любому счёту, тогда можно будет говорить о реальном удобстве и заметной экспансии. а иметь реальную карту тут, а виртуальную там и двигать средства туда сюда… все преимущества улетучивается от такой схемы.
Простите, если не понял очевидного — сервис будет работать только на телефоне с симкой билайн или с другими операторами тоже?
взаимодействует ли «мобильное приложение» с «хостом эмитента» во время оплаты?
Очень хорошее начинание. Но лично я ей воспользуюсь только когда можно будет в приложении мобильного банка (моего банка) выпустить карту которая будет сразу привязана для платежа через nfc. Постоянно переводить деньги на какую-то карту слишком муторно. Выпускать реальную карту для её привязки в приложении конечно тоже не похоже на технологию 21 века.
Спасибо за статью!
Очень радует, что бесконтактные платежи становятся проще и доступнее.
Выпуск виртуальной карты, действительно был бы удобнее. А если можно было бы с любой карты пополнять — то было бы ещё удобнее.
Но даже в таком варианте выглядит очень привлекательно.
Без доступа к сети ведь работает?
Возможен такой сценарий, когда при бесконтактной оплате на телефоне автоматически запускается приложение и запрашивает подтверждение в каком-либо виде?
Очень радует, что бесконтактные платежи становятся проще и доступнее.
Выпуск виртуальной карты, действительно был бы удобнее. А если можно было бы с любой карты пополнять — то было бы ещё удобнее.
Но даже в таком варианте выглядит очень привлекательно.
Без доступа к сети ведь работает?
Возможен такой сценарий, когда при бесконтактной оплате на телефоне автоматически запускается приложение и запрашивает подтверждение в каком-либо виде?
Внутри jCardSim? :-)
гм, платформозависимое решение которое работает только с родной картой? стоит ждать Apple Pay там любые карты и можно oh shi, добавлять несколько и при оплате выбирать с какой платить…
интересно, а на стареньком galaxy nexus + android 5.0.2 это заработает? кукуруза не захотела работать
А чья технологическая серверная платформа используется? Чьей разработки?
HCE приложение по «Visa Cloud-Based Payments Contactless Specification V1.3» написать не проблема. Это MasterCard извратная спецификация на HCE.
HCE приложение по «Visa Cloud-Based Payments Contactless Specification V1.3» написать не проблема. Это MasterCard извратная спецификация на HCE.
Данные, необходимые и достаточные для осуществления NFC-платежей, хранятся непосредственно в памяти смартфона
Ничего дополнительно для транзакции не подгружается? LUK (Limited Use Keys) то должны прийти для каждой транзакции свои или вы как-то по-другому реализовали?
Планируете ли вводить токенизацию?
Все хранится в телефоне, дополнительно ничего не подгружается. LUK приходит не на каждую транзакцию, есть ограничения по времени и количеству. Использование токенизации для данного продукта не требуется т.к. оплату можно производить только в бесконтактной инфраструктуре.
То есть все-равно иногда нужно подгружать что-то из сети. Непонятна фраза, что в смартфоне необходимые и достаточные данные. Достаточные они только для нескольких платежей, а потом нужно опять скачивать LUK. Я имею в виду, что это не полностью автономная система, и она требует периодического доступа к сети интернет.
Токенизация как раз отлично ложится на бесконтактную оплату смартфоном. Даже в спецификации EMV по токенизации (Payment Tokenisation Specification) первый use case называется: Use Case 1: Mobile NFC at Point of Sale.
Сама суть токенизации — подмена важной/секретной/чувствительной информации малополезным для злоумышленников токеном. В случае с бесконтактной оплатой подмена PAN токеном позволяет сберечь виртуальную карту от компрометации в точке обслуживания.
Токенизация как раз отлично ложится на бесконтактную оплату смартфоном. Даже в спецификации EMV по токенизации (Payment Tokenisation Specification) первый use case называется: Use Case 1: Mobile NFC at Point of Sale.
Сама суть токенизации — подмена важной/секретной/чувствительной информации малополезным для злоумышленников токеном. В случае с бесконтактной оплатой подмена PAN токеном позволяет сберечь виртуальную карту от компрометации в точке обслуживания.
Вот, положим, есть сеть супермаркетов в городе.
В одном магазине этой сети кассиры прекрасно знаю, что такое бесконтактные карты, а кроме того, самостоятельно предлагают вставлять карту в ридер, если она не NFC — «У нас правила такие».
В другом же магазине этой же сети на вопрос «Бесконтактные карты принимаете?» делаю глаза по пятаку; карту норовят из рук забрать, пока не скажешь «Я сам её в терминал вставлю»; если карту из рук выпустил, то до того, как ФР выбьет все чеки, карту не отдают — «У нас правила такие».
Боюсь, если я начну к терминалу телефон прикладывать, охрану позовут — мол, хацкера поймали!
В одном магазине этой сети кассиры прекрасно знаю, что такое бесконтактные карты, а кроме того, самостоятельно предлагают вставлять карту в ридер, если она не NFC — «У нас правила такие».
В другом же магазине этой же сети на вопрос «Бесконтактные карты принимаете?» делаю глаза по пятаку; карту норовят из рук забрать, пока не скажешь «Я сам её в терминал вставлю»; если карту из рук выпустил, то до того, как ФР выбьет все чеки, карту не отдают — «У нас правила такие».
Боюсь, если я начну к терминалу телефон прикладывать, охрану позовут — мол, хацкера поймали!
делали внутренний конкурс на взлом системы, с очень хорошим вознаграждением, анализ кода.
Я просто оставлю это здесь:
habrahabr.ru/post/206738/
«Ловушка конкурсов по взлому», перевод статьи Брюса Шнайера 1998 года.
Конкурсы — ужасный способ продемонстрировать безопасность. Продукт/система/протокол/алгоритм, выдержавший конкурс, очевидно, ничуть не более надежен, чем тот, что никогда не участвовал в конкурсах.
Лучшие продукты/системы и т.д. на сегодня не были объектами конкурсов и, скорее всего, никогда не будут. Конкурсы вообще не производят полезной информации.
И почему все больше программ Bug Bounty?
Поиск багов это не то же самое, особенно если речь идёт о продуктах с открытыми исходниками.
Шнайер пишет, что конкурсы с результатами типа «Мы полгода назад пообещали $1 000 000 тому кто первым взломает наш супер сервер и никто не сломал!» — плохие. А конкурсы с результатами «По криптоанализу нашего алгоритма опубликовано 20 научных статей различных авторов со всего мира, наилучший взлом демонстрирует криптостойкость алгоритма на уровне N бит» — гораздо лучше.
Bug Bounty — это как раз работа в сторону правильных конкурсов. Увы, пока не полная, потому как мы обычно не видим результатов «мы почти сломали, вот тут у вас скорее всего слабое место», потому что организаторы решают: не сломал — нет приза. И ситуация «специалисты потратили тысячи человекочасов на попытки взлома, багов не нашли» слабо отличима от «все просто забили на поиск багов».
Шнайер пишет, что конкурсы с результатами типа «Мы полгода назад пообещали $1 000 000 тому кто первым взломает наш супер сервер и никто не сломал!» — плохие. А конкурсы с результатами «По криптоанализу нашего алгоритма опубликовано 20 научных статей различных авторов со всего мира, наилучший взлом демонстрирует криптостойкость алгоритма на уровне N бит» — гораздо лучше.
Bug Bounty — это как раз работа в сторону правильных конкурсов. Увы, пока не полная, потому как мы обычно не видим результатов «мы почти сломали, вот тут у вас скорее всего слабое место», потому что организаторы решают: не сломал — нет приза. И ситуация «специалисты потратили тысячи человекочасов на попытки взлома, багов не нашли» слабо отличима от «все просто забили на поиск багов».
Ридер — это же дело десятое, для списывания денег нужно быть подключенным к банку
Была история, как в ресторане утром воровали POS-терминал, подменяя на поддельный (делающий вид, что работает), а вечером возвращали, подменяя обратно.
Ну эти-то ребята таким образом делали дубликаты карт, т.к. поддельный POS-терминал делал всё нужное и ещё и сохранял PIN-коды и магнитную полосу.
Вот история: www.schneier.com/blog/archives/2012/06/attack_against_1.html
Ну а в нашем случае могут быть разные схемы, включающие в себя сговор с сотрудником компании, которая владеет терминалом (один списывает деньги в метро, второй уносит из компании «купленный» товар или получает бонусы за повышенные продажи) или вскрытие терминала.
А ещё есть relay-атака — в плотном потоке к вам прижимается злоумышленник с псевдо-терминалом, а к нормальному терминалу подходит второй злоумышленник с псевдо-картой и они транслируют транзакцию от вашей карты к терминалу через интернет, например. Второй забирает купленный товар.
Вот история: www.schneier.com/blog/archives/2012/06/attack_against_1.html
Ну а в нашем случае могут быть разные схемы, включающие в себя сговор с сотрудником компании, которая владеет терминалом (один списывает деньги в метро, второй уносит из компании «купленный» товар или получает бонусы за повышенные продажи) или вскрытие терминала.
А ещё есть relay-атака — в плотном потоке к вам прижимается злоумышленник с псевдо-терминалом, а к нормальному терминалу подходит второй злоумышленник с псевдо-картой и они транслируют транзакцию от вашей карты к терминалу через интернет, например. Второй забирает купленный товар.
Вот есть у меня мысль, что NFC — мертворожденный для платежей продукт.
Не говорю, что он плох, но по сути встанет в один ряд с bluetooth, т.е. работать будет, жить будет но большого распространения не получит (многие ли из нас голубым зубом пользуются?)
Лично я буду отделять мух от котлет: там где большой поток народу, там и большее поле для мошенничества. Поэтому платить в метро я буду одной картой, покупать другой, ну а зарплату держать на третьей.
Не говорю, что он плох, но по сути встанет в один ряд с bluetooth, т.е. работать будет, жить будет но большого распространения не получит (многие ли из нас голубым зубом пользуются?)
Лично я буду отделять мух от котлет: там где большой поток народу, там и большее поле для мошенничества. Поэтому платить в метро я буду одной картой, покупать другой, ну а зарплату держать на третьей.
NFC это не платежный продукт. Это набор стандартов/спецификаций на интерфейсы, в частности, и пр… Не более.
Приложение на телефоне, эмулирующее бесконтактную карту с протоколом T=CL это просто один из вариантов бесконтактных «карт». Более простой и дешевый с точки зрения эмиссии и вхождения банка в бесконтактные технологии чем обычный contacless пластик.
Бесконтактные карты весьма распространены (не у нас). Определенную нишу они занимают и занимать будут.
Обычно это платежи на мелкие суммы, где схемы с обналичиванием и выводом крупных сумм неоправданно (для криминалов) сложны или вообще не возможны.
В Европе, расплачиваясь наличными в очереди на кассу в супермаркете чувствуешь себя «белой вороной».
А китайцы, кстати, вообще свой EMV без дуальных карт не видят. Все заводы у них ориентированы на производство сразу дуальных карт.
А мелкие потери от мелких пакосников со специальными знаниями (редкое сочетание) можно списать.
«Порядочный человек, из за мелкой выгоды, большой пакости не сделает».
Массово по бесконтактным картам воровство не организовать.
Приложение на телефоне, эмулирующее бесконтактную карту с протоколом T=CL это просто один из вариантов бесконтактных «карт». Более простой и дешевый с точки зрения эмиссии и вхождения банка в бесконтактные технологии чем обычный contacless пластик.
Бесконтактные карты весьма распространены (не у нас). Определенную нишу они занимают и занимать будут.
Обычно это платежи на мелкие суммы, где схемы с обналичиванием и выводом крупных сумм неоправданно (для криминалов) сложны или вообще не возможны.
В Европе, расплачиваясь наличными в очереди на кассу в супермаркете чувствуешь себя «белой вороной».
А китайцы, кстати, вообще свой EMV без дуальных карт не видят. Все заводы у них ориентированы на производство сразу дуальных карт.
А мелкие потери от мелких пакосников со специальными знаниями (редкое сочетание) можно списать.
«Порядочный человек, из за мелкой выгоды, большой пакости не сделает».
Массово по бесконтактным картам воровство не организовать.
Я не говорю, про бесконтактную оплату. Имеется ввиду, что карта с PayPass более удобна, чем телефон с NFC. Который может:
1. Сесть (дайте зарядку и я с вами расплачусь :)
2. Его надо достать и разблокировать (что увеличит очередь), как выше уже писали
NFC как технология имеет место быть, я ее не отрицаю. Но для платежей именно с мобильника — ИМХО не получит большого распространения.
1. Сесть (дайте зарядку и я с вами расплачусь :)
2. Его надо достать и разблокировать (что увеличит очередь), как выше уже писали
NFC как технология имеет место быть, я ее не отрицаю. Но для платежей именно с мобильника — ИМХО не получит большого распространения.
Лично мне карта получается то же удобнее. По ряду причин не доверяю банк-клиентам. Но использование приложения, как отдельного приложения (без банк клиент), зарубили по маркетинговым причинам.
А так бы пользовался. В пределах лимита 2-3 тыс. в неделю — вполне нормально и относительно безопасно. Все транзакции on-line.
Для банка разница между приложением на телефоне и физической картой очень принципиально.
Стоимость вхождения в эмиссию бесконтактных карт для банка эмитента весьма высока.
Да и для клиента то же. Скачать новую версию приложения (банк-клиент)/активировать в существующей версии или просто отдельное приложение — проще, чем пойти куда то для получения физического пластика.
А так бы пользовался. В пределах лимита 2-3 тыс. в неделю — вполне нормально и относительно безопасно. Все транзакции on-line.
Для банка разница между приложением на телефоне и физической картой очень принципиально.
Стоимость вхождения в эмиссию бесконтактных карт для банка эмитента весьма высока.
Да и для клиента то же. Скачать новую версию приложения (банк-клиент)/активировать в существующей версии или просто отдельное приложение — проще, чем пойти куда то для получения физического пластика.
я недавних пор счастливый клиент билайна и вы продолжаете удивлять — спасибо вам
подумывал тут про кошелек, но лень было менять телефон — сейчас китаец на 4.2 с NFC
я правильно понял, что любой телефон с киткат 4.4 и NFC можно заставить работать как бесконтактную карточку? если да, то да здравствует китаефон (последние 3 у меня THL — вполне радуют за свои деньги)
в макавто очень удобно удобно бесконтактной пользоваться — вечно терминалы у них раздолбанные, набирать пин неудобно, да и подсмотреть могут легко
подумывал тут про кошелек, но лень было менять телефон — сейчас китаец на 4.2 с NFC
я правильно понял, что любой телефон с киткат 4.4 и NFC можно заставить работать как бесконтактную карточку? если да, то да здравствует китаефон (последние 3 у меня THL — вполне радуют за свои деньги)
в макавто очень удобно удобно бесконтактной пользоваться — вечно терминалы у них раздолбанные, набирать пин неудобно, да и подсмотреть могут легко
я правильно понимаю что:
- рутованный девайс или нестандартная прошивка = функционал бесконтактной оплаты не работает? или все же работает?
- вообще при бесконтактной оплате (особенно такой вот) документы именно требовать предьявить имеют право или нет?
- пополнение — в описании приложения сказано что пополнение любыми картами. следует читать «выпущенными российскими банками с поддержкой 3d secure» или payoneer'овскую тоже можно использовать (там нет 3d secure и она не российским банком выпущена)
спасибо за такое приложение. теперь можно хоть попробовать как это работает с телефоном
отвечу себе на вопросы:
— в той листовке что дают с картой — сказано именно про Российские карты (а не «любые»)
— нестандартная прошивка + рут: wireless-оплата не активируется, предлагает отключить рут, если обойти это (что было сделано для тестовых целей), предлагают отключить режим разработчика. если после — включить режим разработчика то иконка беспроводной оплаты серая (но можно руками включить ее не выключая режим разработчика)
отвечу себе на вопросы:
— в той листовке что дают с картой — сказано именно про Российские карты (а не «любые»)
— нестандартная прошивка + рут: wireless-оплата не активируется, предлагает отключить рут, если обойти это (что было сделано для тестовых целей), предлагают отключить режим разработчика. если после — включить режим разработчика то иконка беспроводной оплаты серая (но можно руками включить ее не выключая режим разработчика)
Может ли телефон с соответствующими характеристиками (android 4.4 NFC) выступить в роли терминала?
Lar10n, данное приложение зависит от эмитента или от платежной системы?
Может ли оно работать с картами Visa?
Может ли оно работать с картами Visa?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Эмуляция банковской карты на телефоне