Сбер вернул оплату iPhone: «Вжух» или пшик?

Владельцы iPhone в России, давно смирившиеся с необходимостью носить с собой пластиковые карты после отключения Apple Pay, снова могут расплачиваться телефоном на кассе. Сбербанк запустил технологию «Вжух», которая обходит санкционные ограничения Apple и возвращает удобство бесконтактных платежей. Звучит как долгожданный прорыв, но за этим технологическим финтом скрываются серьезные вопросы безопасности, о которых пользователям лучше знать заранее.

Как это работает?

Вместо заблокированного Apple чипа NFC, который работает на сверхкоротком расстоянии в несколько сантиметров, «Вжух» использует обычный Bluetooth, а точнее, его энергоэффективную версию (BLE). Для оплаты достаточно обновить приложение «Сбербанк Онлайн», запустить его и поднести телефон к специальному терминалу. Прикладывать вплотную не нужно — магия происходит на расстоянии до нескольких десятков сантиметров. Технология работает даже без интернет-соединения, исправно начисляет бонусы «Спасибо» и позволяет платить с любой карты, будь то «Мир», Visa или Mastercard.

Но есть нюанс, который может подпортить впечатление. «Вжух» работает только с новыми биометрическими терминалами Сбера. Несмотря на то, что банк провел масштабную модернизацию и оснастил ими более миллиона точек, это все еще чуть больше половины от общего числа. Так что, прежде чем радостно тянуться телефоном к кассе, придется поискать глазами нужный аппарат, и далеко не факт, что он окажется в ближайшем магазине. Это создает ситуацию, когда одна и та же технология в одном месте работает, а в другом — нет.

Удобство в обмен на безопасность

И вот здесь мы подходим к главному. Технология Bluetooth, в отличие от NFC, изначально не создавалась для безопасных финансовых транзакций. Ее главное преимущество — дальность связи — становится ее же главной уязвимостью. Если платеж по NFC можно сравнить с шепотом на ухо, который невозможно подслушать, то транзакция по Bluetooth — это разговор через всю комнату, который могут услышать посторонние. Сигнал Bluetooth «добивает» на десятки метров, что открывает для мошенников совершенно новые возможности.

В самой архитектуре протокола Bluetooth, которым мы все пользуемся, были обнаружены критические уязвимости (например, BLUFFS и BLESA). Говоря простым языком, это «дыры» в системе безопасности, которые позволяют хакерам вклиниваться в соединение между вашим телефоном и терминалом, перехватывать и даже расшифровывать платежные данные.

Злоумышленники могут использовать так называемые relay-атаки. Представьте, что вы стоите в очереди за кофе. Мошенник рядом с вами с помощью специального устройства незаметно перехватывает сигнал от вашего телефона, который ищет терминал для оплаты, и мгновенно перенаправляет его на другой терминал — например, на кассу в соседнем магазине, где его сообщник делает дорогую покупку. Вы оплачиваете свой кофе, а на самом деле — еще и чужой смартфон. Из-за большого радиуса действия Bluetooth мошенникам даже не нужно стоять вплотную.

Что в итоге?

«Вжух» — это, без сомнения, остроумное инженерное решение в условиях жестких ограничений. Сбер вернул пользователям iPhone привычный комфорт. Однако это решение — компромисс. Пользователи получают удобство, но взамен принимают на себя повышенные риски, связанные с фундаментальными недостатками самой технологии Bluetooth.

Сбербанк заявляет о соответствии стандартам безопасности, но пользователям стоит быть начеку: всегда проверяйте сумму на экране перед подтверждением и отключайте Bluetooth в людных местах, когда он вам не нужен. В ближайшее время технологию начнут тестировать и другие банки, но станет ли она массовой — большой вопрос. Это скорее временное решение, «костыль», который может стать ненужным, если Apple вдруг решит вернуться в Россию или откроет доступ к NFC для всех разработчиков.

Чтобы всегда быть в курсе самых важных новостей из мира технологий и финансов, которые напрямую влияют на вашу жизнь, подписывайтесь на наш Telegram-канал Digital Report.