Бизнес практиките на Apple за мобилни плащания се разследват от Европейската комисия (снимка: CCO Public Domain)
Европейската комисия e започнала разследване на бизнес практиките на Apple с мотива, че услугата за мобилни плащания Apple Pay показва признаци на ограничена конкуренция, съобщи Файненшъл Таймс.
Комисията е изпратила информация до участниците на пазара, за да се запознае с проблемите, включително твърдения, че приложението Wallet на iPhone не поддържа конкурентни методи за плащане. Това се случва, след като конкуренти на Apple поискаха от ЕК да проучи как компанията принуждава потребителите да използват нейното средство за цифрови плащания в iPhone.
Инструментът на Apple за безналични плащания е достъпен в приложението Wallet, което е предварително инсталирано на iPhone. Конкурентите са загрижени, че Apple има присъщо предимство и го използва, блокирайки останалите от достъп до NFC чипа, необходим за безконтактни плащания.
Според Apple обаче, компанията ограничава използването на NFC за защита на поверителността и сигурността на потребителите.
Освен това потребителите на iPhone са насърчавани да се регистрират в Apple Pay с данни за кредитна карта. Ако потребителят прескочи тази стъпка, iPhone или iPad непрекъснато показват червено предупреждение, което информира, че настройката не е завършена.
Цялата работа е за кокала, с който Apple не иска да се разделя.
Какви сървъри, каква ауторизация, какъв контрол, какви ключове, какви 5 лева.
Телефона, както всяка една пластика предава идентиикациони цифрички (номера на картата, срок на валидност и някои други неща) при доссег с POS терминала.
(това, че Apple иска да контролира тези цифри е друг проблем при Apple)
За да се защити предаването на истинския номер на картите се ползва така наречената токенизация, при която друга банка (посредник) дава нови номера (т.е. все едно нова карта), и тази нова карта се предава към POS.
Цялата ДРАМА е, че Apple не позволява никое друго приложение да му ползва NFC за предаване на цифрички от телефона към POS, а само тяхното Apple Pay (пазени в Wallet), с което ограничава и ползването само на предпочитените от Apple псоредници (банкови оператори).
Съвсем друг е въпроса, че некадърниците в iOS са вързали ползането на NFC чипа (архитектурен проблем на iOS) с достъп до останалата част от криптиращите услуги.
Та да си дойдем пак на думата, за какво става въпрос в стататията:
Apple не позволява друго приложение да предава през NFC цифри към POS.
Автентификацията и проверката на транакциите се изъврша в банковия център на релалния картодържател и няма нищо общо с претенциите на Apple.
Гост, това което обясняваш няма НИЩО общо със статията. В статията ясно е написано, че проблемът е, че “не поддържа конкурентни методи за плащане”! Никъде в статията не се споменава за “Apple Card” и нейните оптимизации.
Като искаш ясно и точно, то и аз ще бъдат такъв. Wallet на Apple, както и на много други доставчици на тази услуга (не са само Google и Microsoft) са приложения ПОСРЕДНИЦИ, т. е. “прекупвачи” на парите, на които давате достъп от банковата си карта. Като посредници те си взимат процент от всяка транзакция (т. е. печелят). Проблемът е в това, че на устройството iPhone, разработвано от Apple, последната забранява услугите на всичките си конкуренти, за да обират само те парите.
Дадох и сравнение, за да се изяснят нещата, но някой търси проблемът в това, където го няма и няма как да го вразумиш.
Това, което Гост си мисли за проблем е нещо доста по-различно и е доста по-сложно за анализиране. То много наподобява проблема с криптовалутата на Facebook. Въпросната ако говорим от законова гледна точка в никакъв случай не може да се счита като по-голямо нарушение от наличието на bitcoin например (последното изречение е лично мнение, не е толкова очевидно явно нарушение на правилата, каквото осъществява Apple).
Ха, нищо не си разбрал от моето изложение. Стига си ни обърквал с технически еквилибристики. За потребителите нещата трябва да се казват разбрано. Wallet на Apple, както и на Google и Microsoft са приложения, чрез които се извършват безконтактни плащания през смартфоните с кредитни и дебитни карти, зад които обаче стоят банкови сметки. Ясно и точно. Новото при Apple, е че в Apple Pay потребителите на iPhone ще могат да заявят Apple Card през приложението Wallet. И тази карта ще работи и като стандартна кредитна карта. Но от Apple казват, че за тази услуга ще си партнира с Goldman Sachs, като картата ще бъде оптимизирана за работа през Apple Pay, което означава, че ще ползват чужд банков лиценз. За това в Европа се притесняват, че Apple не иска лиценз за небанкова финансова институция и става силен конкурент на пазара на разплащанията.
Явно се налага и аз да обяснявам малко повече. В случая изобщо не става дума за Android и калпавостта на тази система. Говорим само и единствено за iOS. Сигурността на последната е единственото място, което може да е причина за уязвимостта на плащанията.
По отношение на системата на Apple тя не е хардуерна! Софтуера на iOS разрешава или забранява ползването на NFC. Самият портфейл на Apple се контролира на сървърите им, всъщност както се прави при всяка стойностна платежна система (която контролира портфейлите на потребителите на техните сървъри). Да има аматьорски платежни системи, които пазят криптографските ключове погрешно на самото устройство, НО не всички платежни системи го правят така лаишки.
Това което исках да кажа с “поставяне на каруцата пред коня” е това, че когато дадена институция не е определила правила, то тя НЯМА право да прави и оценки. На теория например високата експертна оценка на Apple може да се окаже резултат от успешна PR акция, а не истинска оценка за качеството на системата. Това е като рекламите за пасти за зъби, които завършват с думите “препоръчва се от асоциацията на стоматолозите”. Да, обаче, последното не е държавен орган свързан с някакви стандарти, а някаква си частна фирмичка, която си прави оценки както си иска…
Така реално ситуацията в момента е точно следната: Ако евросъюза въведе правила за изискванията на платежните системи (правилното впрягане на каруцата), тогава правилата са ясни и важат за всички. До този момент не Apple е в правото да разрешава и забранява ползване на една или друга платежна система. Хубаво е въпросното право за ползване да са експертите, но кой експертен орган по сигурността е наредил само Apple да имат портфейл??? Това е право единствено на банките, които са отговорни за начина и сигурността на съхранение на парите на своите клиенти. Самите банки могат да забраняван или разрешават ползването на сметките в различните платежни системи, а не фирмата Apple.
В заключение ще отговоря на Гост. Този wallet на Apple не е технология, а е посредник в дейността на плащанията, който си взима процент за дейността. То и PayPal се захранва само със сметки от реални карти, но това не означава че PayPal могат да забранят ползването на други платежни системи в интернет. Примерно, ако се сдушат с Microsoft и ги накарат да блокират сайтовете на конкуренцията на ниво операционна система, просто защото са загрижени да не се подлъжат хората по някоя некадърна аматьорска разплащателна система за която после потребителите да винят Windows 10 и фирмата Microsoft.
От потребителска гледна точка, Apple осигурява средата, криптиране на информацията и връзката с банката или оператора на картите. Самите плащания и оторизирането на плащанията се правят от сметката на клиента, която е в някоя банка. Не виждам в този случай какво искат от ЕК. Ако Apple има лиценз за небанкова финансова институция и предлага да си откриеш така наречената виртуална сметка, влизаме в друга хипотеза.
Но в описания случай въпросът е технически…
ха,
Дори не съм сигурен какво искаш да кажеш.
Хардуерните криптографски модули не са от вчера. Разработват се от поне 40 години, има протоколи, стандарти, тестове, сертификации и прочее.
За Apple Secure Enclave (хардуерният криптографски модул) има достатъчно документация със съответните стандарти и сертификати, публикувани на сайта на NIST.
И по тази причина, да твърдиш, че за евросъюза сигурността на Apple устройствата била като на другите, е абсолютно неадекватно твърдение, нямащо нищо общо с реалността.
ЕК/ЕС не са никакви, за да противоречат на експерти, стандарти и сертификации.
Иначе, фактите говорят сами – 97% malware е по Андроид. При това положение, без хардуерно подсигурена криптография, да качваш платежни инструменти на подобно устройство е меко казано неразумно.
А, това, че ти си търсиш начин да изкараш, че осраният Андроид не е по-зле от далеч по-малко насраният iOS, си е твой жалък опит да валидираш избора си. Не ме занимавай със собствените си комплекси за малоценност.
>Но, ако го направят по този начин, няма как да разиграват циркове и да отбиват номера, че правят нещо. Ще се наложи реално да свършат работа, нали?
Пак поставяш каруцата пред коня! Естествено е, че наличието на правила за определяне на нужното ниво на защита е нещо не само хубаво, но и необходимо. Но реално в дадения момент за евросъюза сигурността на Apple системата е толкова сигурна, както която и да е друга система. Както няма правила за определяне на сигурността не може и да имаме ограничения. Това което ти обясни за сигурността са само празни приказки, до момента в който не бъдат разгледани от специалист по сигурността с който еврокомисиите да имат взаимоотношения и то официално (нещо като начало на това, което определяш като свършена работа). Интересно дали Apple ще си отвори кодовете за такива специалисти, за да може да се направи проверката, по-бързо и по-качествено…
Така че, напълно нормално е Apple да предупреждават, че чуждите портфейли не са тяхна грижа, но нямат право да ги спират и това е точно от правна гледна точка.
Очевидно ще трябва да обяснявам още.
Apple Pay се базира на хардуерен криптографски модул.
Туй ще рече, че всички ключове, генериране на seed / произволни числа / инициализиращи вектори, криптиране и хеширане стават на независим от системата модул.
От този модул нищо не може да бъде прочетено, защото физически е направен да не може.
Това означава, че ако телефонът бъде хакнат или някой му качи malware, няма да може да достъпи нищо на този модул.
И тъй като дори автентикацията на потребителя се прави от същия този модул, атакуващият няма да може да активира / изпълнява транзакции, дори и да намери как да праща информация към този криптографски модул.
Apple имат пълни основания да не дават никакъв достъп до модула на този етап.
При Android до ден днешен няма сериозна хардуерно осигурена защита.
Решения като Qualcomm Trusted Execution Environment се видя, че могат да бъдат хакнати, при това не много трудно. Съответно, криптографските ключове са налични в системата и не са физически отделени, както е при Apple, т.е. са достъпни за атакуващите.
Ако Apple позволят NFC да се ползва от външни приложения, без да могат да ползват хардуерен модул, техните криптографски ключове ще са достъпни при хакване/атака (чрез примерно малуер).
Разбира се, по стар обичай, потребителят няма да псува после приложенията, а Apple – “какъв скапан телефон, да могат да ми крадат кредитните карти.”
А, както се вижда, макар и далеч по-защитен от Android, iOS не е перфектен, излизат CVE-та достатъчно често.
Като цяло, ако ЕК искат да направят нещо, не се прави с краката като тях.
Могат да направят работна група, която да създаде стандарт и технически изисквания за хардуерно подсигурена криптография, така че всяко платежно приложение да може да разчита на добра сигурност.
При това положение, вече имат право да изискват и от Apple, че и от Google и Qualcomm да включат хардуерни модули със съответния достъп.
Но, ако го направят по този начин, няма как да разиграват циркове и да отбиват номера, че правят нещо. Ще се наложи реално да свършат работа, нали?
А, относно глупостите за Гугъл и колко им е добър софтуера, дори няма да коментирам – вижда се колко malware е напъплил Андроида и в какви размери са атаките – десетки милиони устройства.
Но, то какво да очакваш от компания, която уволнява хора като James Damore и други бели мъже, а наема джендъри.
Това което правят Apple е все едно аз да взема едно много тлъсто тесте с банкноти, да маркирам всяка една от тях и след това в моите търговски обекти да позволявам заплащане само с така маркираните банкноти. Но това е все едно да издавам собствена валута, защото според цените в магазина мога да направя един лев да 5, 10 или сто лева (съответно ако сваля цените от реалните 5, 10 или 100 пъти).
Никакъв аргумент не е това с какво им помага индустрията.
Пробвай да пуснеш калпаво камера приложение в google play store.
Няма да можеш, защото гугъл са добри не само в софтуера, но и тестовете.
Ябълката защо не инвестират в качествени не заобиколими тестове?
Каква им е всъщност целта?
Не искам да притеснявам ЕК, но в случая Apple имат право – масово софтуерът се пише некадърно, с краката.
Отдавна беше установено, че NFC е дупка в сигурността, особено ако всякакви неандерталци имат достъп.
Просто си познавам колегите. 90% са със заврени в задниците ръце и не могат да напишат 10 реда качествен код. Но, тъй като са добре платени, самочувствието им е като на богове.
Разказите от типа на “ако X се правеше както се пише софтуер” са 100% верни.
Естествено, Apple имат и финансова изгода да не допускат външни платежни средства, но не е като индустрията да не им помага в доводите 😀