Apple Pay Сбербанк Maestro — как подключить карту?

Apple Pay Сбербанк Maestro - как подключить карту? NFC
Содержание
  1. Почему мы рекомендуем пользоваться nfc
  2. Так что там про скиммеры?
  3. Что такое бесконтактная оплата картой с телефона
  4. Что говорят сами клиенты банка?
  5. Apple pay
  6. Apple pay maestro — как подключить и настроить карту?
  7. Google pay
  8. А пин-код — он безопасно передаётся?
  9. Благодарности
  10. Дополнительные задачи
  11. Другие приложения, позволяющие проводить оплату картой
  12. Как оплачивать покупки телефоном с поддержкой кошелька pay
  13. Как платить sberpay
  14. Как пользоваться картой с nfc на банкомате?
  15. Как привязать карту к sberpay
  16. Как работает nfc в банкоматах?
  17. Как работает бесконтактная оплата смартфоном
  18. Как работает система бесконтактной оплаты?
  19. Можно ли прикладывать к банкомату часы или телефон, как при оплате?
  20. Настройка nfc для оплаты
  21. Нужно ли вводить пин-код при использовании nfc?
  22. Обходные пути
  23. Оплата покупок через nfc
  24. Оплата при помощи samsung pay
  25. Оплата телефонами с системой андроид
  26. Персонализация апплетов
  27. Платформа iot
  28. Плюсы и минусы оплаты через телефон
  29. Побочный результат исследования
  30. Полезные ссылки
  31. Привет, хабр!
  32. Приложение для бесконтактной оплаты
  33. Программа mir pay для оплачивания покупок картой мир
  34. Решение
  35. Сколько людей забывают карту в банкомате?
  36. Создание меток nfc
  37. Установка апплетов
  38. Установление соединения
  39. Цель исследования
  40. Выводы
  41. Вместо заключения

Почему мы рекомендуем пользоваться nfc

image

NFC-модуль использует EMV-стандарт. EMV (Europay MasterCard VISA) — международный стандарт для операций по банковским картам с чипом. Этот стандарт первоначально был разработан совместными усилиями компаний Europay, MasterCard и VISA, чтобы повысить уровень безопасности финансовых операций.

Стандарт EMV определяет физическое, электронное и информационное взаимодействие между банковской картой и платёжным терминалом для финансовых операций. При бесконтактной сессии используются аналогичные контактной сессии алгоритмы, отличия лишь в способе передачи информации.

Итого — заведите привычку прикладывать карту к банкомату. Как я сказала выше, наши технологии одинаково защищают клиента, который вставляет карту, и клиента, который её прикладывает. Но у бесконтактной технологии есть существенное преимущество: вы точно не забудете карту в устройстве.

Так что там про скиммеры?

Мошенники могут установить считыватель рядом с картридером. Сбер использует антискимминговое оборудование, которое разработано с учётом различных сценариев, применяемых мошенниками для обмана клиента. Дополнительно используются и другие технические способы, включая самотестирование банкомата, уведомления о правильном внешнем виде, панели, затрудняющие установку внешних устройств, и так далее.

К примеру, карточка заходит в устройство медленно, так как совершаются колебательные движения с целью предотвращения считывания данных с магнитной полосы. Так сделано на всех наших банкоматах, но это не означает, что так же сделано на всех банкоматах всех банков. Поэтому универсальный рецепт: по возможности, используйте NFC.

Что такое бесконтактная оплата картой с телефона

Удобство и быстрота – главный девиз жизни в большом городе. Именно это является ведущей целью инновационной разработки. Оплачивать покупки стало гораздо проще и быстрее. Даже если вы не живете в мегаполисе, то идея не доставать карту из кармана или кошелька каждый раз точно понравится всем.

Еще несколько лет назад, чтобы совершить оплату, нужно было достать пластик и вставить его в считывающее устройство, либо провести магнитной стороной.

Теперь достаточно приложить к терминалу смартфон или гаджет – например, умные часы. И средства моментально спишутся со счета. Такой формат бесконтактной оплаты картой с телефона избавляет нас от необходимости постоянно держать при себе кошелек. Если вы случайно забыли деньги дома, то альтернативный вариант оплаты всегда придет вам на помощь.

Знакомый рассказал мне историю. Однажды его срочно отправили в командировку на несколько дней. Находясь в дороге, Михаил понял, что оставил банковскую карту дома. Вернуться возможности уже не было, а наличка с собой хоть и была, но в ограниченном количестве.

И он нашел выход: его телефон поддерживал функцию оплаты. Скачав приложение, он позвонил жене, чтобы она продиктовала ему данные. Он успешно занес их в телефон, и это легко заменило ему пластик. Со временем Михаил по достоинству оценил возможности смартфона и теперь расплачивается только им.

Что говорят сами клиенты банка?

Мы проводили опрос. Итоги такие:

  • Очень много клиентов просто не знают о технологии NFC и о местах её использования. В частности о том, что их карта уже поддерживает NFC.
  • Те, кто знают об NFC, но не используют нигде, привыкли вставлять карту и не планируют особо менять типовой способ работы с банкоматом. «Я так привык», «Мне так удобнее».
  • Клиенты предпочитают совершать меньше действий, поэтому активно используют NFC для оплаты покупок, но почему-то не используют в банкоматах. В то время как бесконтактное обслуживание безопасно как с точки зрения гигиены и защиты от вирусов, так и сохранности ваших данных — ведь так вы не забудете карту в устройстве. «Я не знал, что у меня бесконтактная карта» — нередко встречался такой ответ.

Ещё раз скажу: лучше прикладывать карту/гаджет, потому что это как минимум удобнее и безопаснее.

Apple pay

Система была разработана в 2021 году эксклюзивно для владельцев аппаратов iPhone (начиная с шестой модели) и Apple Watch. Работает с помощью фирменного приложения Wallet. В качестве дополнительной проверки программа запрашивает сканер отпечатка или лица.

Как и аналоги, Apple Pay не передает реальные данные. Вместо этого продавец видит только «динамический код безопасности», который защищает счет. Если аппарат утерян или украден, то пользователь может заблокировать данные через Find my iPhone.

Приложение вмещает до 16 банковских карт и внедрено более чем в 60 странах.

Технологии стремятся вперед, чтобы упростить нашу жизнь. Системы стараются обезопасить процессы виртуальных оплат, но пользователь также не должен терять бдительность – регулярно проверяйте, на месте ли ваши пластиковые карты и смартфоны, и никому не сообщайте личные данные.

Apple pay maestro — как подключить и настроить карту?

В связи с нарастающей популярностью Apple Pay, у многих возникает вопрос, как работает эта программа с Maestro?

Maestro – это банковская карта начального уровня, относящаяся к платёжной системе MasterCard. Она является дебетовой и используется для оплаты покупок и услуг, исходя из средств, находящихся на текущем лицевом счёте клиента. В отличие от кредитных, с её помощью нельзя пользоваться предоставляемыми банками кредитами.Apple Pay Сбербанк Maestro - как подключить карту?

По уровню она аналогична карточке другой платёжной системы – Visa, а именно Visa Electron.

Стоимость её обслуживания варьируется в пределах трёхсот рублей в год, хотя некоторые банки, например, Авангард, не берут за свои услуги даже эту оплату.

Оформить её можно даже ребёнку с четырнадцати лет. Их использование для безналичной оплаты поддерживает  большинство крупных торговых точек. В нашей стране число граждан, пользующихся этими карточками, составляет более одиннадцати миллионов.

На данный момент из двенадцати банков, сотрудничающих с системой Apple Pay, лишь два – Сбербанк и Райффайзен банк – работают с картами данной системы.

К сожалению, в настоящее время они ещё не поддерживают подключения Maestro к Apple Pay.

Возможно, скоро это упущение будет исправлено, как было с картами системы Visa. Поэтому, приводим краткую инструкцию привязки карты к устройствам Apple.

Если у вас есть iPhone или iPad, то для её добавления следуйте следующим инструкциям:

  • Если у вас iPhone: найдите на устройстве приложение Wallet

Если у вас iPad: выберите «Настройки», затем «Wallet и Apple Pay»

  • Выберите пункт “Добавить платёжную карту”;
  • Введите пароль Apple ID;
  • В открывшемся окне отсканируйте свою карту или введите данные вручную;
  • Перейдите по пункту “Далее”. Будет проведена проверка, в ходе который могут потребоваться дополнительные данные.
  • Когда проверка окончится, снова перейдите в “Настройки”, затем в “Wallet и Apple Pay”;
  • Ваша карта удачно добавлена! Теперь вы можете приступать оплате с помощью Apple Pay.

Google pay

До февраля 2021 года называлась Android Pay.

Это система, разработанная компанией Google, обеспечивает беспроводными технологиями устройства, работающие на операционной системе Android: смартфоны, а также планшеты и умные часы.

Банковскую информацию пользователь вводит вручную, либо фотографирует обе стороны пластика.

Вместо реальных данных система вместе с платежом отправляет заново созданный номер счета клиента. Дополнительная защита транзакций осуществляется через систему биометрических сканеров. Пользователю дается на выбор приложить отпечаток пальца или сканировать радужку глаза. Также для моделей, не поддерживающих биометрию, предусмотрен более простой вариант – ввод пароля.

Доступен для пользователей в 40 странах мира и поддерживает самые популярные системы платежей: Visa, Mastercard, Maestro и т.д.

А пин-код — он безопасно передаётся?

Это не имеет отношения к NFC, но всё равно скажу, что клавиатура, на которой вы вводите пин-код, шифрует его. Шифрование гарантирует, что введённый пин-код нигде не появится. При этом сама операция шифруется ключами, и в банкомате не хранится информация.

Вместо этого она уходит через защищённые каналы связи напрямую в банк и уже там проходит проверку на подлинность. Всё происходит в режиме реального времени. Тут важно отметить, что эта информация нигде не сохраняется и является недоступной даже для сотрудников банка.

Благодарности

, который замотивировал меня на написание статьи и помогал по ходу её подготовки к публикации.

Саше Прыймак, который под моим руководством выполнил описанное в статье исследование.

Также большое спасибо за участие и поддержку:Кате Туркиной, Антону Давыдову, Лёше Ершову, Даше Алексеенко.

Дополнительные задачи

  1. Получение UID чипа
    Это сделать можно, очень простым способом.
    При старте сессии NFC модуль ищет чипы, AID’ы апплетов которых прописаны в info.plist, и складывает их в массив.
    После этого любой из них можно оттуда достать, и если его тип NFCISO7816Tag, то у него есть поле identifier, в котором и находится UID чипа.
    /**
      * @discussion The hardware UID of the tag.
    */
    var identifier: Data { get }

  2. Получение ATR чипа
    А вот ATR, похоже, Core NFC получать не умеет, потому что во фреймворке для этого нет отдельных инструментов, а с помощью APDU-командATR получить нельзя.

Другие приложения, позволяющие проводить оплату картой

Первые 5 программ, о которых рассказывалось выше, чаще всего используются для проведения бесконтактной оплаты через телефон. Но существуют и другие приложения, например:

  • «Квадратный кошелек». Этот сервис поддерживается устройствами с IOS и Android. Имеет функции идентификации местоположения транзакции и бесплатной проверки платежей. Связано с учетной записью Square.

Как оплачивать покупки телефоном с поддержкой кошелька pay

Корейская компания Huawei попала в опалу и была заблокирована в Google. Из-за этого было разработано приложение, аналогичное Google Pay для Android. Программа «Кошелек Pay» ранее применялась для хранения скидочных карт различных магазинов. Но ее функционал был доработан, и теперь она позволяет расплачиваться смартфоном.

Принцип работы и добавления банковской карточки аналогичен другим приложениям. Но «Кошелек Pay» пока что не так популярен, как остальные, и имеет ограниченное количество платежных систем. Например, она не принимает карты Сбербанка. Плюс программы – раздел клубные карты, куда вы можете загрузить номера скидочных карточек магазинов.

Как платить sberpay

С этого момента вашим основным платёжным сервисом станет SberPay и вы сможете начать оплачивать покупки бесконтактным способом. По сути, ничего сложного, однако небольшие отличия от Google Pay всё-таки есть. Например, для активации SberPay нужно либо запустить приложение «Сбербанк Онлайн», либо просто поднести его к терминалу, тогда как у Google Pay ручного режима активации просто не существует. Но это не так существенно.

После того, как произойдёт распознавание NFC-модуля, смартфон предложить выбрать карту, если их несколько, а затем подтвердить оплату отпечатком пальца либо вводом код-пароля. Очень удобно и безопасно, в отличие от Google Pay, который позволяет совершить три покупки до 1000 рублей без подтверждения, способствуя разгулу мошенничества. Кроме того, если у вас отключена биометрия или код-пароль, пользоваться SberPay будет нельзя.

В России начались продажи Xiaomi Mi Band 4 с NFC. Как платить

Буду ли я сам пользоваться SberPay? Нет. Несмотря на то что реализация Сбербанка мне нравится, этот сервис обладает одним, но очень критическим недостатком. Конечно же, это отсутствие поддержки карт сторонних банков. Несмотря на то что карта Сбера у меня есть, моя основная карта – это кредитка Яндекс.

Как пользоваться картой с nfc на банкомате?

Если вы можете бесконтактно расплатиться в магазине или кафе, то точно так же можете обслуживаться в банкомате. В нашем случае нужно начать сеанс с прикладывания карты или девайса (соответствующая подсказка есть на банкомате на экране ожидания пользователя) и ввода пин-кода, и тогда откроется главный экран, где будет контекст под текущего клиента банка. Вот пример:

На этот экран собираются типовые операции, которые клиент часто делает: это снятие привычных сумм наличных, оплата детсада или кредита и так далее. Улучшение интерфейса банкоматов — достаточно интересная история, и я знаю, что для Хабра это несколько лет назад было важно.

Сейчас при бесконтактном обслуживании карту к банкомату нужно приложить дважды: в первый раз при авторизации, во второй раз — при подтверждении операции.

Как привязать карту к sberpay

  • Перейдите в приложение «Сбербанк Онлайн»;
  • Найдите в списке карту Visa и нажмите на неё;
  • В открывшемся окне выберите «Добавить в SberPay»;
  • Подтвердите добавление карты кодом из SMS.

Huawei вернет возможность платить телефоном

Однако мало просто подтвердить регистрацию в сервисе. Чтобы им можно было пользоваться, необходимо выбрать SberPay в качестве основного инструмента бесконтактной оплаты. На разных смартфонах это делается по-разному, но поскольку все прошивки на базе Android устроены похожим образом, думаю, что проблем с поиском нужного параметра у вас не возникнет.

Как работает nfc в банкоматах?

Первые банковские карты просто «прокатывались» импринтерами, поэтому на них объёмные цифры номера. Эта система оплаты до сих пор действует как резервная в некоторых магазинах в США на случай отключения света. Она аналогична выписке банковского чека из чековой книжки, что когда-то было очень распространено на Западе, но почти не прижилось в СССР и России. Уровень безопасности обеспечивался контролем за договорами с банком и полицией.

Следующий этап эволюции — магнитная полоса карты, по сути, содержащая довольно простой способ защиты. До сих пор в мире существуют терминалы и банкоматы, которые читают только магнитную полосу. Она, к слову, может быть считана скиммером, но про это чуть позже.

После полосы пришли чипы (это то, через что авторизуется банковская карта сейчас). Примерно аналогичные чипы вы видите на сим-картах. Это полноценный компьютер без генератора тактовой частоты (она приходит вместе с питанием от материнского устройства).

Как работает бесконтактная оплата смартфоном

Оплата смартфоном возможна лишь при наличии модуля НФС с антенной и специального платежного приложения. Обмен данными происходит за счет магнитного поля, излучаемого микрочипом. Через установленное приложение nfc производится оцифровка данных, содержащихся в банковских карточках. Далее, эти реквизиты передаются на считывающее устройство терминала.

Одновременно, кроме непосредственной передачи данных, осуществляется аутентификация и шифрование данных с использованием сложной системы. В итоге, в кассовом чеке вместо реальных реквизитов отобразится набор сгенерированных случайных чисел.

Использовать программу для оплаты через NFC намного безопаснее, чем обычными карточками. Перед оплатой идентифицируется личность, а при покупках на сумму более 1000 рублей потребуется ввод пин-кода или другие подтверждающие действия.

Как работает система бесконтактной оплаты?

Оплата смартфоном допустима только при наличии чипа Near-Field Communication (NFC). Он позволяет терминалу и мобильному устройству идентифицировать друг друга и передавать данные без доступа к Интернету.

Для осуществления платежей необходимо установить приложение для бесконтактной оплаты, добавить в него номер банковской карты, а также убедиться, что система NFC включена в настройках телефона. Затем вам потребуется только поднести телефон к терминалу на расстояние до десяти см, чтобы модуль сработал.

Современные модели смартфонов с системой Android выше 4 или IOS от 8 версии оснащены функцией NFC.

Основные преимущества метода бесконтактных платежей телефоном

  • Безопасность. Все мобильные платежи, осуществляемые с помощью протокола NFC, динамически шифруются. Также на самом смартфоне можно настроить идентификацию пользователя с помощью отпечатков пальцев, Face ID и т.п. Это позволяет защитить устройство от несанкционированного доступа и запретить платежи.
  • Удобство. Вам не нужно носить с собой пластиковую карту.
  • Простота применения. Нужно просто поднести телефон к устройству для платежей, оплата осуществляется без задержек и комиссий.

Основной недостаток – не все платежные терминалы оснащены чипом, поддерживающим NFC. Для работы системы требуется установка специальных программ, которые могут не поддерживаться заграничными терминалами.

Можно ли прикладывать к банкомату часы или телефон, как при оплате?

Да. Если вы выпустили отдельный сертификат для своего NFC-чипа (то есть связали карту и NFC-чип) и можете расплатиться этим в магазине — то же самое подходит и для банкомата. Карту можно вообще не брать с собой: все операции, включая снятие и взнос наличных в банкоматах, можно делать с помощью смартфона.

Настройка nfc для оплаты

Перед началом любых действий, необходимо проверить наличие на смартфоне функции НФС и при необходимости выполнить ее подключение.

Если это выполняется на Андроид, то:

  1. Вначале нужно выполнить вход в главное меню, а уже там зайти в настройки.
  2. Далее – выбираются «Беспроводные сети» и нажимается «Еще».
  3. В открывшемся списке отобразятся все доступные беспроводные соединения, в том числе и NFC при наличии модуля.
  4. Для активации этой функции ставится галочка или же переключатель сдвигается слева направо.

В айфонах аналогичных настроек не требуется. Здесь НФС активирована по умолчанию, нужно лишь выполнить установку программы Apple Pay и привязать банковскую карту.

Нужно ли вводить пин-код при использовании nfc?

Да.

С точки зрения ПО банкомата аутентификация по NFC ничем не отличается от аутентификации вставкой карты. Архитектурно для банкомата картридер — «чёрный ящик», который выдаёт данные аутентификации. При модификации банкоматов и при создании новых мы расширяем возможности картридера.

Упрощённо это можно описать как подключение ещё одного устройства ввода с небольшим интеграционным устройством. То есть картридер получает в итоге те же данные, что при чтении чипа карты. Все операции, требующие пин-кода в случае, когда вы вставляете карту, точно так же требуют пин-кода при её прикладывании.

Обходные пути

Первое, что приходит в голову — а можно ли добавить в info.plist не AID платежного апплета, а AID Card Manager’а (Card Manager — это группа сервисов внутри операционной системы чипа, управляющих картой, которые отвечают за администрирование и безопасность), чтобы потом вручную послать ему команду SELECT с AID нужного апплета?

Здесь мы споткнулись о первый подводный камень — Core NFC не позволяет отправлять команду SELECT, содержащую AID, который не прописан в info.plist.

Хорошо, добавили A0000000041010, но и тут неудача — Core NFC не позволяет отправлять команду SELECT, содержащую платежный AID, вне зависимости от того, есть он в info.plist или нет.

Разберемся, как именно работает ограничение по идентификаторам.

В info.plist мы указали следующие AID’ы:

1. A000000001510000                        	- GlobalPlatform Card Manager AID
2. 325041592E5359532E444446303101      - Proximity Payment System Environment (PPSE) 
3. A0000000041010                             	- Mastercard Credit/Debit (Global)
4. A00000000401                                 	- Mastercard PayPass
5. A00000000410101213                    	- Mastercard Credit
6. A00000000410101215                    	- Mastercard Credit
7. A00000000410101214                    	- Придуманный платежный AID                 
8. A00000000410101216                    	- Придуманный платежный AID 
9. A0000000041010121F                    	- Придуманный платежный AID 
10. A0000000041010BB5445535401 	        - Придуманный платежный Long AID
11. A0000000041010BB5445535405 	        - Придуманный платежный Long AID
12. A000000004101FBB5445535401 	        - Придуманный не платежный AID                
13. A000000004101F1213                    	- Придуманный не платежный AID                 
14. A00000000F1010                             	- Придуманный не платежный AID
15. A0000000040F                                     - Придуманный не платежный AID

Мы установили 14 платежных апплетов с разными AID (пп. 2-11 — платежные AID-ы), и попробовали отправить Card Manager команды SELECT с каждым из этих AID.

Ответили номера 12-15.  

Получается, что ограничение накладывается именно на некий префикс AID, наличие которого и определяет, платежный это идентификатор или нет.

Жаль, но этот способ отпадает.

Второй способ персонализации, предусмотренный GlobalPlatform, это команда INSTALL [for personalization].

Она отправляется в Card Manager и содержит AID апплета, который нужно персонализировать.

После этого можно отправлять команды STORE DATA в Card Manager, а он будет пересылать их в целевое приложение.

Но есть одно ограничение. Для того, чтобы апплет поддерживал такой способ персонализации, он должен реализовывать интерфейс org.globalplatform.Application.

Card Manager, на команду INSTALL [for personalization] с Mastercard Credit/Debit (Global) AID, который был присвоен апплету M/Chip Advance от NXP, отвечал ошибкой «6985» (Conditions of use not satisfied),

а значит надо проверить, реализует ли он интерфейс Application.

Для этого мы написали простое приложение-пустышку, реализующее этот интерфейс. Как и ожидалось, на INSTALL [for personalization] оно ответило «9000».

Но когда Application был убран из интерфейсов, реализуемых приложением, оно стало отвечать на эту команду «6985», как и в случае с апплетом M/Chip Advance.

Следовательно, проблема именно в том, что приложение NXP не реализует необходимый для такого способа персонализации интерфейс. Этот способ тоже отпадает.

Оплата покупок через nfc

Следующим действием после активации НФС будет привязка банковской карты. Без этого невозможны бесконтактные операции через платежный терминал. Все настройки простые и выполняются в следующем порядке:

После всех настроек в приложении отобразится копия карты в цифровом формате, после чего можно выполнять платежи. Любая операция подтверждается специальным цифровым кодом, видимым продавцу. Личные данные покупателя и номер карты нигде не показываются.

Оплата при помощи samsung pay

Это современный платежный сервис, разработанный для смартфонов торговой марки Samsung. Ее уникальность в том, что она позволяет платить в любых терминалах – как бесконтактных, так и с магнитной полоской. Дело в том, что при работе Samsung Pay использует комбинацию протоколов NFC и MST (специальный модуль, реагирующий на изменение магнитных полей).

Условия использования приложения Samsung Pay:

  • Смартфон Samsung, оснащенный чипом Near-Field Communication;
  • Андроид версии 4.4 и выше;
  • Регистрация на официальном сайте Samsung.

Данный сервис отличается высокой безопасностью платежей, благодаря встроенной в телефоны Самсунг системы KNOX, предназначенную для двухфакторной авторизации при защите данных. Приложение требует ввести пароль при оплате смартфоном, либо проверить отпечаток пальца.

Оплата телефонами с системой андроид

Платежной системой смартфонов на ОС Android является Google Pay. Это одно из наиболее распространенных приложений для бесконтактной оплаты.

Условия использования Google Pay:

  • Смартфоны на базе Андроид 4.4 и выше, оснащенные функцией бесконтактной оплаты;
  • На телефоне не должно быть root-доступов, программы Samsung MyKnox. В противном случае ничего работать не будет.
  • Регистрация в Google;
  • Загрузчик Андроид не должен быть заблокирован;
  • Если сумма покупки превышает тысячу рублей, то система в обязательном порядке потребует введения пин-кода или подтверждение операции отпечатком пальца.

Эта платежная система позволяет оплачивать покупки через специальный терминал, оснащенный чипом, а также в приложениях из магазина Google Play. Как правило, данный сервис уже предустановлен на устройствах с Андроид. Исключение – китайские смартфоны Huawei, попавшие под санкции и лишившиеся возможности использовать Гугл Плей.

Список карт, поддерживаемых приложением Google. Также на самом смартфоне с поддержкой Гугл Пэй есть специальный значок.

Персонализация апплетов

На самом деле, персонализация апплета — очень простая штука; всё, что требуется, это загрузить в него необходимые платежные данные. Для этого нужно выбрать апплет командой SELECT по его AID, установить защищенное соединение и отправить выбранному апплету команды STORE DATA с данными внутри.

Теперь вернемся к списку AID’ов в файле info.plist — зачем он нужен, и как конкретно Core NFC выбирает, с каким апплетом взаимодействовать?

Выглядит это примерно так:

  1. Программа идет по списку сверху вниз;
  2. Для каждого AID она формирует и отправляет команду SELECT;
  3. AID первого апплета, ответившего «9000» (статус успешного ответа, здесь список всех возможных ответов) записывается в поле initialSelectedAID объекта типа NFCISO7816Tag, который кладется в массив обнаруженных чипов
@available(iOS 13.0, *)

public protocol NFCISO7816Tag : NFCNDEFTag, __NFCTag {

   /**

    * @property initialSelectedAID The Hex string of the application identifier (DF name) selected by the reader when the tag is discovered.

    *                              This will match one of the entries in the «com.apple.developer.nfc.readersession.iso7816.select-identifiers»

    *                              in the Info.plist.

    */

   @available(iOS 13.0, *)

   var initialSelectedAID: String { get }


Дальше из массива можно выбрать любой такой объект, и с помощью метода

отправлять

выбранному апплету.

А теперь поговорим об этом ограничении:

Core NFC doesn't support payment-related Application IDs.

То есть

не поддерживает платежные AID’ы, а именно боевые, с которыми работают платежные терминалы.

Конечно, платежный AID в список info.plist добавить можно, вот только Core NFC его проигнорирует и не будет отправлять для него SELECT (кстати, здесь список всех использующихся AID’ов). Apple таким образом защищают свою технологию Apple Pay, закрывая сторонним разработчикам доступ к любым платежным функциям iPhone (и всему, что с этим связано).

Платформа iot

На данный момент мы с командой работаем над запуском платформы интернета вещей, которая сможет дополнить и расширить существующий опыт использования сервиса Pay и внедрить оплату (и другие сервисы идентификации) в те вещи, которые мы обычно носим с собой — так называемые носимые устройства.

Интернет вещей — это концепция привычных физических предметов, оснащенных технологиями для взаимодействия с внешней средой или друг с другом. 

В этой концепции привычные сценарии использования вещей перестраиваются благодаря автоматизации.

Пример носимых устройств — умные часы, фитнес-браслеты, кольца, брелоки.

Если раньше человек носил кольцо из-за красоты или символизма, то теперь, в концепции интернета вещей, кольцо выполняет функцию платежного инструмента, пропуска СКУД, пульта управления другими умными устройствами и т.д. Таким образом, для привычной вещи появляются новые удобные сценарии использования.

Умные вещи сейчас — мировой тренд. Об этом свидетельствуют собранные различными мировыми агентствами статистические данные (см. ссылки в конце статьи). 

В этой статье я хочу на примере проведенного нами исследования в рамках разработки IoT-платформы рассказать, с какими задачами работает финтех-направление приложения «Кошелёк», с какими проблемами мы сталкиваемся и как используем проверенные технологии карточной индустрии для создания новых продуктов.

Для начала я кратко и простыми словами опишу технологии, на которых базируется наша платформа. Если интересно почитать про эти технологии подробнее — в конце статьи будут ссылки. 

  1. Элемент безопасности, или Secure Element — это полноценный компьютер, выполненный в цельном кристалле кремния размером около 5-20 квадратных миллиметров. Он имеет свою операционную систему, систему ввода-вывода, центральный процессор, несколько крипто-процессоров для реализации криптографических операций, оперативную и постоянную память. Элементы безопасности используют при производстве банковских карт, SIM-карт, а также встраивают в смартфоны и другие устройства. Элемент безопасности практически невозможно взломать и получить оттуда данные (отсюда и название).

    Как и на любой компьютер, в элемент безопасности можно установить приложения — так называемые апплеты. Мы в нашей статье будем работать с платежным апплетом, благодаря установке и персонализации которого носимое устройство с элементом безопасности и имеет сервис бесконтактной оплаты.

  2. Стандарт GlobalPlatform Card Specification — он описывает работу операционной системы элемента безопасности в целом, а также сценарии и протоколы безопасного управления содержимым элемента безопасности.
  3. TSM  (Trusted Service Manager) — сервис для управления содержимым в элементе безопасности. Он управляет жизненным циклом апплетов и их персонализацией под конкретного пользователя на конкретном элементе безопасности.
  4. Для превращения носимого устройства в платежный инструмент платежными системами применяется технология токенизации по стандарту EMV — это процесс получения от платежной системы токена (суррогатного номера), связанного с номером реальной банковской карты. Для каждой банковской карты, в связке с форм-фактором устройства оплаты, токен всегда уникален, что обеспечивает дополнительную безопасность при оплате токеном.

Вот основные сценарии взаимодействия смартфона с самим устройством, которые мы закладываем в нашу платформу (во всех сценариях пользователь управляет носимым устройством через интерфейс мобильного приложения на смартфоне): 

Первый сценарий — это взаимодействие с активными носимыми устройствами. Активными называют носимые устройства, в которых есть свой элемент питания (например, аккумулятор). Как правило, внутри вещи работает своя операционная система и имеется модуль BLE для связи со смартфоном. Производитель устройства предоставляет SDK и ключи доступа для взаимодействия с элементом безопасности.

Именно так работают все умные часы и фитнес-браслеты с функцией бесконтактной оплаты.Тут всё просто и понятно — берем и делаем. 

Второй сценарий интереснее — это взаимодействие с пассивными носимыми устройствами. Пассивными называют носимые устройства, в которых нет своего элемента питания. Эти устройства питаются от внешнего магнитного поля, в которое их необходимо поместить.

Проблема заключается в том, что нужно загрузить в пассивное носимое устройство свою банковскую карту из приложения на смартфоне.

Этот сценарий мы (условно) разбиваем уже по типу смартфонов:

  1. Любые смартфоны без NFC
  2. Смартфон Android c NFC
  3. iPhone c NFC

Для первого типа будем использовать внешний считыватель, который находится в специальных терминалах персонализации. Если коротко, то терминал персонализации и мобильное приложение в смартфоне подключены к одному бэкенду, который синхронизирует обоих клиентов. Токен загружается через терминал персонализации, а в интерфейсе мобильного приложения пользователь видит результат.

Реализация терминала персонализации может быть разной: может быть тот же смартфон пользователя, подключенный к внешнему считывателю смарт-карт по BLE или USB, а может быть и автономное внешнее устройство (полноценный компьютер с подключенным к нему считывателем, выходом в интернет и управляющим программным обеспечением).

Для второго типа (Android c NFC) реализация понятна. Смартфон в этом случае можно использовать в качестве терминала, запитать пассивное устройство от NFC-антенны и загрузить в него токен банковской карты.

В нашем исследовании я подробно распишу, как мы прорабатывали третий тип смартфонов (iPhone с NFC). В качестве носимых устройств мы использовали брелки от компании ISBC — партнера, с которым мы запускаем пилот.

Плюсы и минусы оплаты через телефон

К основным положительным качествам бесконтактных платежей через телефон можно отнести следующие:

  • Безопасность. Устройства соединяются между собой всего лишь на доли секунды, а зона действия сигнала не превышает нескольких сантиметров. Перехватить реквизиты какими-то техническими средствами практически невозможно.
  • Удобство. Все процессы максимально оптимизированы и не требуют дополнительного вмешательства. Привязка карт производится единожды и сохраняется до окончания срока годности.
  • Благодаря небольшим размерам, чип НФС легко размещается в смартфонах.
  • Низкие энергозатраты. Модуль работает в экономичном режиме и не оказывает заметного влияния на заряд батареи.
  • Сервис NFC предоставляется абсолютно бесплатно.
  • Быстрая оплата на кассе экономит время покупателям.

Несмотря на очевидные плюсы, есть и определенные недостатки, присущие этой системе:

  • Не все телефоны оборудованы чипами НФС.
  • Работа модуля осуществляется от батареи, поэтому выключенный или разряженный телефон не годится для бесконтактной оплаты.
  • Не все платежные терминалы оборудованы функцией бесконтактных платежей.

Побочный результат исследования

В ходе проведения работ родилась схема потенциального мошенничества, которую нельзя воспроизвести посредством смартфонов Apple, но вполне можно реализовать через Android-смартфон с поддержкой NFC и технологией Host Card Emulation.

Суть вкратце: 

Используя эту схему, можно создать цепочку банковская карта — смартфон — смартфон — платежный терминал, а именно:

  1. Первый смартфон прикладывается к любой банковской карте;
  2. Второй — прикладывается к платежному терминалу;
  3. Второй смартфон эмулирует банковскую карту, пересылая APDU-команды, посылаемые терминалом, первому смартфону;
  4. Первый смартфон транслирует эти команды приложенной банковской карте, передавая ее ответы второму смартфону;
  5. Второй смартфон передает полученные ответы терминалу;
  6. Платеж произведен.


То есть потенциально мошенник может приложить смартфон к вашему карману и оплатить покупку.

Будьте осторожны!

Чтобы не стать жертвой подобной схемы мошенничества, вы можете, например, перенести банковские карты в смартфон и не носить с собой пластик.

Полезные ссылки

Если вас заинтересовала тема, описанная в статье, то ниже — несколько ссылок для более подробного изучения:

  1. Книга И. М. Голдовского «Банковские Микропроцессорные Карты»
  2. Концепция EMV Payment Tokenisation
  3. Статьи с анализом рынка IoT: 

Привет, хабр!


Меня зовут Максим. Промышленной разработкой я занимаюсь с 2005 года. В Кошельке работаю с 2021 года, а с 2021 года помогаю бизнесу компании развивать новые финтех-сервисы в качестве руководителя подразделения.

В Кошельке наша команда запустила немало инновационных продуктов. Это и одна из первых в мире полностью виртуальная банковская карта в смартфоне с возможностью бесконтактной оплаты (за год до запуска Apple Pay в России и задолго до запуска Apple Card), и первая транспортная карта, и первая карта болельщика, и первая кампусная карта в смартфоне.

В прошлом году мы совместно с Mastercard запустили сервис Кошелёк Pay — единственный в мире сервис, который, в отличие от аналогов, работает независимо от производителя смартфона или операционной системы. Например, Кошелёк Pay работает на смартфонах Huawei, на которых отсутствуют сервисы Google.

Приложение для бесконтактной оплаты

Для полноценного использования функции НФС на телефоне, потребуется установка специального ПО для неконтактных платежей. Здесь собираются все реквизиты банковских карт, и после привязки они могут использоваться как полноценное средство оплаты. Подобные приложения выпускаются всеми заинтересованными сторонами, поэтому выбрать для себя наиболее подходящее не составит особого труда.

Программа mir pay для оплачивания покупок картой мир

Мир Pay – новая программа, разработанная в РФ для оплаты покупок с помощью карточек «Мир». Оно доступно на смартфонах с системой Андроид 6 версии и выше, оснащенных чипом NFC.

Все платежные операции защищены с помощью специального шифрования данных. Реквизиты карточек посмотреть в телефоне нельзя, т.к. вместо реального номера карты Мир в программе высвечивается токен.

Ее основной недостаток заключается в том, что она срабатывает только на терминалах, принимающих карты «Мир».

Решение


В начале декомпозируем основную задачу, а именно определим шаги, необходимые для превращения совершенно обыкновенного брелка (ну, почти) в полноценное платежное средство:

  1. Установление соединения чипа с NFC модулем iPhone
  2. Установка на чип апплетов Mastercard M/Chip Advance и PPSE
  3. Персонализация апплетов 

Сколько людей забывают карту в банкомате?

Больше, чем кажется. Это не что-то из ряда вон выходящее, а стандартная функция банкомата. Забытая карта будет возвращена в банкомат, потом нужно будет перевыпустить или, если это произошло в офисе банка, идти с паспортом к сотруднику, чтобы он достал её из банкомата.

С использованием NFC за год (с октября 2021 по октябрь 2020) число оставленных в банкомате карт сократилось более чем в два раза.

Создание меток nfc

С помощью технологии NFC возможно не только совершение бесконтактных платежей, но и выполнение других действий. Для этого существуют специальные метки, оборудованные чипами, и действующими наподобие QR-кода. Только считывание информации производится не камерой, а модулем НФС.

Настроенные метки дают толчок смартфону на выполнение определенных действий. Это могут быть звонки конкретным абонентам, отправка писем или СМС, открытие приложений, настройка будильника и т.д.

Программирование меток NFC выполняется в следующем порядке:

  • Приобретается метка НФС.
  • Привязывается к смартфону через приложение.
  • Вносится информация о действиях, требующих выполнения.
  • Запрограммированная метка помещается в любое удобное и доступное место.

При попадании смартфона в зону действия метки, происходит считывание задачи и ее последующее автоматическое выполнение.

Установка апплетов

Для установки апплетов на чип необходимо защищенное соединение (Secure Channel Protocol или SCP); мы сделали это за кадром с помощью обычного

считывателя и платформы

TSM.

Однако, даже если у вас ничего из этого нет, вы все равно можете попробовать установить свой собственный апплет на чип — только на виртуальный.

Понадобится любая IDE с поддержкой JCOP Shell и эмулятором JavaCard, например, вот эта.

Создаем пустой проект, указываем желаемый AID (например 0000000000) и запускаем.

Дальше разбираемся по шагам:

  1. /card
    Получаем ATR, отправляем SELECT без идентификатора, чтобы был выбран Card Manager;
  2. auth
    Создаем защищенное соединение с эмулятором, иначе ничего установить не получится;
  3. ls (опционально)
    С помощью этой команды можно увидеть, какие приложения установлены на вашем девайсе/эмуляторе;
  4. install [packageAID] [appletAID] [instanceAID]
    Устанавливаем апплет:

    packageAID — идентификатор пакета (Module), например, «0000000000»
    appletAID — идентификатор апплета (Load File), например, «000000000000»
    instanceAID — идентификатор, который будет присвоен вашему апплету после установки, например, «A0000000041010»;

  5. ls
    Проверяем, появился ли ваш апплет в списке установленных приложений:

Установление соединения

Именно здесь речь пойдет о фичах фреймворка

, добавленных в iOS 13.

Кстати, в iOS 14 никаких существенных изменений относительно предмета статьи не случилось, поэтому все описанное актуально и для нее.

Итак, в тринадцатой версии яблочной ОС стало возможным не только считывать данные с NFC меток, как это было в iOS 12 (но не раньше iOS 11, до нее взаимодействие по NFC было возможно только в рамках Apple Pay), но и записывать их, а также общаться  на языке APDU-команд с любым чипом, который соответствует одному из следующих стандартов:

Для этого в

были добавлены два новых класса:

Первый используется для взаимодействия с NDEF метками, а второй — для всего остального, соответственно.

В нашем случае это чип, поддерживающий спецификацию GlobalPlatform Card Specification 2.2.1 и стандарт ISO/IEC 7816, значит, будем использовать второй класс.

В документации написано, что нужно сделать (помимо написания кода, конечно), чтобы начать общение с чипом по ISO 7816:

Но ниже есть вот такое интересное ограничение:

ImportantCore NFC doesn’t support payment-related Application IDs.Как раз его мы и хотим «пощупать», узнав, что конкретно оно означает.

Добавляем строку, например «Allow NFC connection» для ключа NFCReaderUsageDescription в файле info.plist. С любым другим значением этого ключа тоже работает. 

[Здесь в колонке слева не сам ключ, а его описание, XCode прячет формальные названия]

Дальше, если мы хотим взаимодействовать с чипом, как с устройством стандарта ISO/IEC 7816, то в значении ключа com.apple.developer.nfc.readersession.iso7816.select-identifiers укажем список ID всех апплетов (Application Identifier или AID), с которым будет взаимодействовать приложение.

Здесь стоит пояснить, что эти идентификаторы — не просто случайный набор символов.


Это шестнадцатеричные (hex) строки, содержащие информацию о приложении, которому они присвоены.

AID’ы могут быть длиной от 5 до 16 байт (два символа в строке = один байт). Они состоят из двух частей, первая определяет провайдера приложения (для Mastercard это «A000000004»), вторая говорит, какой именно это продукт данного провайдера (для продукта с именем «Mastercard» это «1010», а, например, для Maestro это «3060»).

Кроме того, иногда в AID требуется поместить дополнительную информацию, например, если на чипе находятся два одинаковых приложения от одного провайдера, но для разных банков. Для этого существует поддержка Long AID (или Extended AID). До тех пор, пока длина AID не превышает 16 байт, в него можно записывать все, что угодно. Например, мы взяли Mastercard AID и в конце дописали к нему «TEST», итог: «A0000000041010BB5445535401».

Единственный AID, который выбивается из списка — «325041592E5359532E444446303101». На самом деле это обычная (только в hex-формате), что называется, plain-text строка «2PAY.SYS.DDF01». Это AID PPSE, который платежным апплетом, как таковым, не является. Он лишь содержит данные окружения, необходимые платежным приложениям.

Цель исследования


Можем ли мы дать возможность пользователю

на платформе iOS загрузить свою банковскую карту в носимое устройство, приложив его к iPhone?

То есть:

  1. Пользователь в приложении приложении «Кошелёк» вводит данные своей банковской карты
  2. Пользователь прислоняет к задней стенке iPhone носимое устройство
  3. Банковская карта загружается в носимое устройство


Соответственно, техническая задача — определить, можно ли во внешний элемент безопасности (Secure Element) загрузить банковскую карту, используя обычный iPhone и его

антенну, через протокол

(T=CL). 

Дополнительные задачи:

  1. Получить ATR (Answer To Reset) чипа, не убирая его от считывателя
  2. Получить UID (Unique Identifier) чипа

Эти данные могут быть полезны, так как они часто используются для идентификации чипа в системах поставщиков сервисов и диверсификации ключей от чувствительных данных приложений чипа.

Что имеем:

Выводы


Что же в сухом остатке?

  1. Мы научились работать с чипами стандарта ISO/IEC 7816 (в том числе и получать их UID), используя новые возможности фреймворка Core NFC;
  2. Разобрались с ограничениями, наложенными Apple на свою технологию;
  3. Выяснили, что на данный момент, используя iPhone, персонализировать апплеты с платежными идентификаторами, при этом не реализующие интерфейс Application — невозможно;
  4. Взяли на заметку, что с любыми другими AID все работает на ура — эти знания пригодятся нам в будущем при работе с нефинансовыми сервисами.

Отвечая на вопрос, поставленный в начале, можем ли мы дать пользователю Кошелька возможность загрузить свою банковскую карту в брелок, приложив его к iPhone — нет, пока что это невозможно.

В рамках поставленной задачи мы остановились на использовании внешнего BLE считывателя для загрузки токена банковской карты из iPhone в пассивное носимое устройство.

Надеемся, что в будущем Apple расширит возможности NFC Core для выполнения этой и ряда других задач, связанных с токенизацией и оплатой в сторонних приложениях. Впрочем, недавняя новость сигнализирует, что это вряд ли случится в ближайшем будущем.

Вместо заключения

Статью я старался писать простым языком, не сильно углубляясь в терминологию предметной области. В ней я описал один из инновационных проектов, над которым мы работаем, предметную область и небольшое исследование новых возможностей iOS фреймворка  Core NFC.

Проблемы NFC:  IQOS приложение – как скачать и пользоваться
Оцените статью
NFC в смартфонах
Добавить комментарий