Secure Element — на страже бесконтактных платежей

Разбираемся, как защищают платежные данные в смартфонах, которые поддерживают бесконтактные платежи.

Современные смартфоны уже давно и успешно совмещают в себе не только средство связи, фотоаппарат и музыкальный плеер, но заодно еще и проездной, и даже кошелек. Это, естественно, заставляет задуматься о безопасности хранения данных на них. Давайте разберемся, насколько надежно смартфоны защищают самую ценную информацию и как работает ее главный страж — миниатюрный чип под названием Secure Element.

Специальный чип для надежного хранения платежных данных перекочевал на смартфоны с бесконтактных банковских карточек. Вы, наверное, слышали про стандарт EMV (Europay, MasterCard, Visa) — самый надежный на сегодняшний день? Он предполагает, что платежная информация хранится на защищенной микросхеме, которую практически невозможно взломать. Собственно, карты стандарта EMV в просторечии так и называют — карты с чипом.

По сути, Secure Element в вашем телефоне — это примерно тот же самый чип, что и в пластиковых картах. На нем работает отдельная операционная система (да, на банковских карточках тоже есть своя ОС, в которой работают свои программы). Вся необходимая информация записывается в память этого чипа, откуда ее нельзя ни прочитать, ни скопировать, — доступа к ней нет даже у родной ОС смартфона или планшета, не говоря уже об установленных в ней приложениях. А на самом Secure Element могут работать только специальные доверенные программы, например электронные кошельки, — и то не все.

Чип общается с платежными терминалами напрямую, так что, даже если ОС смартфона заражена каким-то зловредным приложением, возможностей для перехвата данных у мошенников нет — эти данные просто не попадают в «большую ОС», всегда оставаясь в специализированной системе Secure Element.

Идея объединить телефон с кредиткой старше, чем может показаться. Первые модели мобильников с встроенным Secure Element были еще кнопочными — правда, особой популярности они не приобрели. Пытались с помощью гаджетов имитировать и магнитную ленту, однако реальным конкурентом привычному «пластику» смартфоны стали сравнительно недавно, а именно — в 2014 году, когда компания Apple анонсировала платежную систему Apple Pay.

Успех производителя iPhone привлек внимание его конкурентов, и в 2015 году аналогичный сервис появился у Samsung. Кстати, обе эти системы подразумевают использование встроенного чипа Secure Element (именно поэтому старые iPhone и недорогие модели Samsung не поддерживают бесконтактные платежи).

В попытке расширить спектр функций своих устройств корейцы даже приобрели компанию LoopPay — ту самую, что разработала систему мобильных платежей на основе магнитной ленты. А еще через несколько месяцев Google представила систему Android Pay (в начале 2018 года переименованную в Google Pay).

На самом деле, Secure Element не обязательно должен быть встроен в смартфон. Его можно сделать съемным, например, в формате карты памяти. А некоторые сотовые операторы выпускают симки с возможностью хранить в них банковскую карточку или проездной. Но эти варианты так и не стали популярны.

Компания Google, в отличие от Apple или Samsung, производит в основном не сами мобильные устройства, а программное обеспечение для них. Поэтому ее собственная платежная система на начальном этапе столкнулась с некоторыми трудностями. В частности, в большинстве Android-смартфонов не было чипов Secure Element. Заставить независимых производителей установить защищенную микросхему компания не могла, заставить пользователей покупать какую-то экзотическую карточку — тоже. А без Secure Element реализовать бесконтактные платежи не получалось.

Сначала в Google попытались выйти из положения, разместив свое приложение-кошелек на симках с Secure Element, однако ведущие американские сотовые операторы — Verizon, At&T и T-Mobile — отказались сотрудничать с компанией, решив продвигать собственную программу, которая изначально называлась Isis Wallet, а потом была переименована в Softcard из политических соображений. Примечательно, что впоследствии эту систему приобрела Google, ради патентов.

Однако прежде, чем это случилось, в компании придумали более изящное решение проблемы. Раз в Android-смартфонах нет настоящих защищенных чипов — надо просто сделать виртуальные, разместив их у себя в облаке. Так и поступили. Эта технология получила имя Host Card Emulation (HCE).

У такой облачной системы есть важное отличие от кошельков, работающих на встроенном Secure Element: HCE требует, чтобы с терминалом могла общаться ОС гаджета. Она же контактирует и с облачным Secure Element — удаленным «сейфом», где хранится платежная информация, — или доверенным приложением.

Эксперты говорят, что технически использовать HCE менее безопасно, чем реальный Secure Element: чем больше данные странствуют по сети, тем больше шансов их перехватить. Однако технологией HCE предусмотрены дополнительные механизмы защиты, компенсирующие это слабое место, — например, в ней используются не постоянные платежные ключи, а временные, которые нельзя применить повторно.

Теперь вы знаете, в каком «черном ящике» ваш смартфон хранит платежные данные. В следующей статье мы расскажем, как на основе Secure Element работают системы бесконтактной оплаты в устройствах, работающих под управлением iOS и Android. А также о том, почему нельзя просто так взять и записать банковскую карту в смартфон без использования Apple Pay, Google Pay или Samsung Pay.

21.05.2018