Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Информационная безопасность

Безопасность и подлинность Google Wallet SmartTap – есть ли они?

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Безопасность и Аутентичность Google Wallet SmartTap
  4. Понимание Архитектуры SmartTap
  5. Потенциальные Проблемы Безопасности
  6. Решения для Повышения Безопасности
  7. Заключение

Вопрос или проблема

Итак, я играю с Google Wallet и SmartTap и мне интересно, какую общую безопасность и достоверность предоставляет система. Я не могу найти документацию, которая объясняла бы это подробно.

Из того, что я нашел, просто играя с API и интерфейсами, я как эмитент могу добавить столько redemptionIssuers (числовых ID), сколько хочу, в свою конфигурацию пропуска, и все они будут читать мой пропуск. Это означает, что когда я узнаю issuerID местного торговца, я могу выпускать пропуска, которые его терминал будет читать, не имея при этом контроля над этим. Насколько я знаю, торговец не может проверить IssuerID эмитента пропуска, так что он не может внести их в белый список.

Конечно, чтобы подделать действительный пропуск, мне также нужно знать действительное smartTapRedemptionValue, что может быть сложнее найти.

Для меня это выглядит так, будто в системе почти нет безопасности и достоверности. Я прав? Значит, если я хочу убедиться, что только я могу выдавать пропуска для своей системы, мне нужно добавить безопасность, например, как минимум подписывая/шифруя smartTapRedemptionValue, и я должен убедиться, что мой IssuerID (который выглядит инкрементально и встречается повсюду) остается секретным?

Хотя я не проводил исследований о том, сколько может быть сложно извлечь issuerID и/или smartTapRedemptionValue из телефона с действительным пропуском…

Ответ или решение

Безопасность и Аутентичность Google Wallet SmartTap

Вопрос безопасности и аутентичности систем, таких как Google Wallet и SmartTap, становится всё более актуальным с увеличением числа мобильных платежей и цифровых кошельков. В этой статье мы рассмотрим архитектуру безопасности SmartTap, проблемы, с которыми могут столкнуться пользователи, а также подходы к их преодолению.

Понимание Архитектуры SmartTap

SmartTap предоставляет пользователям возможность осуществлять транзакции, используя QR-коды или NFC радиочастотную идентификацию. Основная идея заключается в простоте и удобстве использования для пользователей и предпринимателей. Однако, эта простота создаёт определенные проблемы с безопасностью.

Потенциальные Проблемы Безопасности

  1. Отсутствие Контроля для Торговцев: Как вы правильно заметили, когда вы добавляете несколько redemptionIssuers в конфигурацию вашего пропуска, любой, кто знает issuerID местного торговца, может создать пропуск, который будет восприниматься его терминалом. Это создаёт риски подделки и мошенничества.

  2. Доступность IssuerID: Если issuerID является последовательным и предсказуемым, его можно легко сгенерировать, что ставит под угрозу аутентичность пропуска. Это действительно может повлечь за собой ситуации, когда недобросовестные лица могут эмитировать фальшивые пропуска.

  3. Сложность Защиты SmartTapRedemptionValue: Хотя для подделки действительного прохода необходимо знание smartTapRedemptionValue, методы его извлечения или узнания всё же могут быть реализованы злоумышленниками.

Решения для Повышения Безопасности

Чтобы обеспечить большую безопасность и аутентичность в системе, компании-эмитенты могут применять несколько стратегий:

  1. Шифрование и Подпись: Рекомендуется применять шифрование для smartTapRedemptionValue и других критических данных. Использование цифровых подписей может помочь в подтверждении подлинности прохода и его источника.

  2. Скрытие IssuerID: Защита issuerID от несанкционированного доступа может снизить вероятность подделки. Это может быть выполнено через использование сложных и нестандартных идентификаторов.

  3. Истории Транзакций: Ведение журнала всех транзакций с использованием issuerID поможет выявить аномалии и принять меры по предотвращению мошенничества.

  4. Верификация Торговцев: Торговцы могут иметь возможность проверять действительность пропусков через API, которые подтверждают наличие издателя и его аутентичность.

Заключение

Учитывая вышеизложенное, действительно существуют уязвимости в системе Google Wallet SmartTap, которые нужно принимать во внимание. Для повышения безопасности необходимо реализовать шифрование, создавать уникальные идентификаторы и внедрять механизмы верификации. Эти меры могут существенно снизить риски и повысить доверие к системе со стороны пользователей и торговцев. Ключевыми элементами для обеспечения безопасности остаются тщательная проработка архитектуры и внедрение передовых практик в области информационной безопасности.

В условиях современного цифрового мира важно постоянно следить за потенциальными угрозами и развивать технологии для их нейтрализации, тем самым обеспечивая неподдельный и безопасный опыт для всех игроков на рынке.

google
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности