Há anos, os smartphones
combinam as funcionalidades de telefones, câmera, tocador de música,
passe de transporte público e até mesmo carteira. Naturalmente, isso faz
com que qualquer um se pergunte sobre a segurança. Vamos descobrir como
protegem as informações valiosas dos usuários e como funcionam os
principais mecanismos de segurança – um chip minúsculo, chamado Secure
Element.
O Secure Element no celular é essencialmente o mesmo chip dos cartões de crédito. Possui sistema operacional separado (sim, cartões de crédito possuem SO próprio e executam programas). Suas informações são armazenadas nesse chip, impossível de ler ou copiar mesmo pelo sistema operacional de um celular ou tablet, muito menos por apps nesses dispositivos. O Secure Element funcionará apenas com apps especiais e confiáveis, como carteiras virtuais selecionadas.
O chip se comunica diretamente com terminais de pagamento, então até um celular infectado por malware ou hackeado não pode interceptar a informação, pois os dados não são transmitidos ao sistema operacional principal.
O sucesso despertou o interesse dos concorrentes. Em 2015, a Samsung começou a ofertar serviço similar. Ambos os sistemas requerem o Secure Element (por isso iPhones antigos e modelos mais simples da Samsung não possuem pagamento contacless).
Numa tentativa de melhorar a funcionalidade, a empresa coreana até adquiriu a LoopPay, mesma empresa que desenvolveu a imitação de tarja magnética. Muitos meses depois, o Google trouxe o Android Pay (renomeado para Google Pay no início de 2018).
O Google, diferentemente da Apple e Samsung, produziu de forma prioritária softwares para dispositivos móveis e não os próprios dispositivos. Por isso que os sistemas de pagamento encontraram muitas dificuldades no início. No começo, a maioria dos celulares Android não possuía chips Secure Element. A empresa não forçaria fabricantes independentes a instalarem chips seguros, nem obrigaria usuários a comprarem um cartão novo. Sem falar que não podia implementar pagamentos contacless sem o Secure Element.
A primeira vista, o Google tentou encontrar uma forma de instalar a wallet em cartões SIM com o Secure Element; entretanto, operadoras de celular americanas – Verizion, AT&T e T Mobile – recusaram a parceria, e promoveram seu próprio aplicativo, chamado inicialmente de Isis Wallet, renomeado depois para Softcard por considerações políticas. No fim, o Google adquiriu o sistema.
Entretanto, antes que isso ocorresse, a empresa inventou uma solução mais elegante para o problema. Embora celulares Android não possuam chips seguros instalados, os virtuais foram criados na nuvem. A tecnologia foi chamada de Host Card Emulation (HCE).
Esse sistema pautado na nuvem era diferente das carteiras com o Secure Element embutido em um aspecto importante. O HCE requer que o terminal de pagamento se comunique com o SO do aparelho. Esse, por sua vez, precisa contatar o Secure Element da nuvem, no qual a informação de pagamento está armazenada, bem como com um aplicativo confiável.
Especialistas alegam que o HCE é tecnicamente menos seguro que um Secure Element Real: quanto mais um dado trafega pela Internet, mais fácil interceptá-lo. Dessa forma, o HCE inclui mecanismos de proteção que compensam essa vulnerabilidade – como por exemplo, utilizar chaves de pagamento de uso único.
Créditos: Kaspersky BLOG
Conheça o Secure Element
Um chip especial migrou de cartões de pagamento sem contato para os smartphones. Você pode já ter ouvido falar do padrão EMV (Europay, MasterCard, Visa), o mais confiável hoje. Com ele, seus dados são armazenados em um microchip protegido virtualmente impossível de hackear. Por isso que cartões EMV são chamados de “cartão com chip.”O Secure Element no celular é essencialmente o mesmo chip dos cartões de crédito. Possui sistema operacional separado (sim, cartões de crédito possuem SO próprio e executam programas). Suas informações são armazenadas nesse chip, impossível de ler ou copiar mesmo pelo sistema operacional de um celular ou tablet, muito menos por apps nesses dispositivos. O Secure Element funcionará apenas com apps especiais e confiáveis, como carteiras virtuais selecionadas.
O chip se comunica diretamente com terminais de pagamento, então até um celular infectado por malware ou hackeado não pode interceptar a informação, pois os dados não são transmitidos ao sistema operacional principal.
A carteira no celular: o começo
A ideia de combinar o celular com um cartão de crédito é antiga. Os primeiros modelos com o Secure Element foram instalados em celulares de teste, embora nunca tenham se popularizado. Uma empresa chegou a inventar um método de imitar a tarja magnética com um dispositivo; mas os celulares tornaram-se competição expressiva para cartões plásticos apenas recentemente, em 2014, com o lançamento do Apple Pay.O sucesso despertou o interesse dos concorrentes. Em 2015, a Samsung começou a ofertar serviço similar. Ambos os sistemas requerem o Secure Element (por isso iPhones antigos e modelos mais simples da Samsung não possuem pagamento contacless).
Numa tentativa de melhorar a funcionalidade, a empresa coreana até adquiriu a LoopPay, mesma empresa que desenvolveu a imitação de tarja magnética. Muitos meses depois, o Google trouxe o Android Pay (renomeado para Google Pay no início de 2018).
Secure Element – embutido, externo ou na nuvem
Na verdade, o Secure Element não tem de estar fisicamente dentro do smartphone. Pode ser removível – por exemplo, um cartão de memória. Alguns operadores até produzem cartões SIM capazes de armazenar informações de cartão de crédito e passe de transporte público. Mas essas opções não se tornaram populares.O Google, diferentemente da Apple e Samsung, produziu de forma prioritária softwares para dispositivos móveis e não os próprios dispositivos. Por isso que os sistemas de pagamento encontraram muitas dificuldades no início. No começo, a maioria dos celulares Android não possuía chips Secure Element. A empresa não forçaria fabricantes independentes a instalarem chips seguros, nem obrigaria usuários a comprarem um cartão novo. Sem falar que não podia implementar pagamentos contacless sem o Secure Element.
A primeira vista, o Google tentou encontrar uma forma de instalar a wallet em cartões SIM com o Secure Element; entretanto, operadoras de celular americanas – Verizion, AT&T e T Mobile – recusaram a parceria, e promoveram seu próprio aplicativo, chamado inicialmente de Isis Wallet, renomeado depois para Softcard por considerações políticas. No fim, o Google adquiriu o sistema.
Entretanto, antes que isso ocorresse, a empresa inventou uma solução mais elegante para o problema. Embora celulares Android não possuam chips seguros instalados, os virtuais foram criados na nuvem. A tecnologia foi chamada de Host Card Emulation (HCE).
Esse sistema pautado na nuvem era diferente das carteiras com o Secure Element embutido em um aspecto importante. O HCE requer que o terminal de pagamento se comunique com o SO do aparelho. Esse, por sua vez, precisa contatar o Secure Element da nuvem, no qual a informação de pagamento está armazenada, bem como com um aplicativo confiável.
Especialistas alegam que o HCE é tecnicamente menos seguro que um Secure Element Real: quanto mais um dado trafega pela Internet, mais fácil interceptá-lo. Dessa forma, o HCE inclui mecanismos de proteção que compensam essa vulnerabilidade – como por exemplo, utilizar chaves de pagamento de uso único.
Continua…
Agora você já conhece a “caixa preta” utilizada para armazenar dados de pagamento no seu celular. No próximo artigo, discutiremos como dispositivos Android e iOS usam sistemas de pagamento contactless com o Secure Element. Também falaremos acerca do porque alguém simplesmente não armazena um cartão bancário em um smartphone sem intermédio do Apple Pay, Goole Pay, ou Samsung Pay.Créditos: Kaspersky BLOG
Nenhum comentário:
Postar um comentário