Вопрос или проблема
Я играю с Google Wallet и SmartTap и задаюсь вопросом, какую общую безопасность и подлинность предоставляет система. Я не могу найти документацию, которая объясняла бы это подробно.
Из того, что я нашел, просто играя с API и интерфейсами, я, как эмитент, просто добавляю столько redemptionIssuers (числовых идентификаторов), сколько хочу, в мою конфигурацию пропуска, и все они затем будут считывать мой пропуск.
Это означает, что когда я узнаю issuerID местного торговца, я могу выпустить пропуска, которые его терминал будет считывать, не имея над ним никакого контроля.
На сколько я знаю, торговец не может проверить IssuerID эмитента пропуска, поэтому он не может их внести в белый список.
Конечно, чтобы подделать действительный пропуск, мне также нужно знать действительное smartTapRedemptionValue, что может быть труднее найти.
Для меня это выглядит так, будто в системе почти нет безопасности и подлинности. Я прав? Значит ли это, что если я хочу быть уверенным, что только я могу выпускать пропуска для моей системы, мне нужно добавить безопасность, например, подписывая/шифруя smartTapRedemptionValue и мне нужно убедиться, что мой IssuerID (который выглядит инкрементным и распространен повсюду) остается в секрете?
Я не проводил никаких исследований о том, насколько трудно может быть извлечь issuerID и/или smartTapRedemptionValue из телефона с действительным пропуском.
Ответ или решение
Google Wallet и SmartTap: безопасность и подлинность для торговцев
С внедрением технологий цифровых кошельков, таких как Google Wallet и функции SmartTap, достаточно актуальным становится вопрос безопасности и подлинности передачи информации между торговцами и эмитентами. В данном контексте стоит рассмотреть несколько ключевых аспектов, касающихся защиты информации и проверки подлинности для торговых точек.
Функциональность SmartTap и его уязвимости
Согласно описанию вашего опыта, кажется, что рендеринг технологии SmartTap может вызывать опасения в отношении безопасности. Действительно, возможность добавления множественных идентификаторов эмитента (redemptionIssuers) без должного контроля со стороны торговца создаёт потенциальные риски. Это связано с тем, что при наличии знания идентификатора эмитента — который может быть легко извлечён из открытых источников или даже в ходе взаимодействия с приложением — любой пользователь может создать поддельный пропуск, который будет распознаваться терминалом торговца.
Подлинность и контроль со стороны торговца
Одним из наиболее критичных аспектов, упомянутых вами, является отсутствие возможности для торговца проверить идентификатор эмитента. На данный момент действительно не существует механизмов, позволяющих гарантировать, что только авторизованные эмитенты выпускают пропуска, принимаемые в его системе. Это создает пробел в защите, который потенциально может быть использован мошенниками для создания недействительных или мошеннических пропусков.
Рекомендации по повышению безопасности
Для обеспечения большей безопасности в системе, одним из рекомендуемых шагов может стать использование цифровой подписи и шифрования данных. Например, подписание значений smartTapRedemptionValue и шифрование конфиденциальной информации может значительно усложнить процесс создания поддельных пропусков для злоумышленников.
Кроме того, важно рассматривать внедрение механизма обфускации идентификатора эмитента. Это может быть достигнуто, например, путем использования хэш-функций, что усложнит задачу по его извлечению.
Заключение
Таким образом, в рамках использования Google Wallet и технологии SmartTap на данный момент действительно существуют уязвимости, касающиеся безопасности и подлинности пропусков, которые могут быть использованы мошенниками. Для повышения защиты рекомендуется внедрение дополнительных мер безопасности. Это не только позволит защитить интересы как эмитентов, так и торговцев, но и повысит общий уровень доверия к системе.
Дальнейшее развитие таких технологий должно основываться на активном взаимодействии между эмитентами, торговцами и разработчиками, с акцентом на внедрение более строгих стандартов безопасности.