12:50
19/6/2018

Od kilku godzin, Polacy posiadający iPhony z NFC (od iPhone 6 w górę) i zegarki Apple Watch mogą korzystać z Apple Pay, czyli w aplikacji Wallet skojarzyć telefon z posiadaną przez siebie kartą płatniczą kilku polskich banków. Czy to bezpieczne? Kto będzie miał dostęp do historii transakcji i numeru karty podczas płatności Apple Pay? Kiedy Apple Pay nie zadziała? Gdzie będzie można płacić? Wyjaśniamy poniżej.

Apple Pay: jak dodać kartę do iPhona?

Póki co, z Apple Pay mogą korzystać klienci wybranych banków:

Aby dodać kartę do Apple Pay, otwórz aplikację Wallet (najlepiej na ekranie z aplikacjami smyrając w dół i wpisując w wyszukiwarkę, która się pokaże na górze “Wallet”). Aplikacja powita Cię takim widokiem:

Po kliknięciu “Add Credit or Debit Card“, iPhone zaprezentuje Ci:

  • Link do regulaminu dotyczącego tego, jak Apple będzie korzystało z danych Twojej karty (przeczytaliśmy go za Ciebie i to co dzieje się z dodawaną kartą wyjaśniamy w szczegółach w dalszych akapitach. Nie ma tam niczego “strasznego”).
  • Link do regulaminu banku dotyczącego usługi Apple Pay. Przeczytaliśmy ten mBanku i poza jednym błędnym linkiem, także nie ma tam niczego zdrożnego.

Po zaakceptowaniu regulaminów obu firm, będziesz mógł zrobić zdjęcie swojej karcie (wtedy jej dane, takie jak np. numer karty zostaną odczytane automatycznie) lub uzupełnić dane karty ręcznie ręcznie.

Numer karty, wbrew temu co piszą niektóre media, na tym etapie trafia na serwery Apple (w formie zaszyfrowanej) i jest wykorzystywany do ustalenia do jakiego banku ma trafić żądanie dodania karty do Apple Pay (bez obaw, Apple potem kasuje te dane). Proces tymczasowego przesyłania danych karty na serwery Apple można pominąć dodając kartę do Apple Pay bezpośrednio z aplikacji mobilnej danego banku, ale z tego co wiemy, jak narazie można to zrobić tylko w PeoPay.

Na tym etapie następuje proces weryfikacji, czy karta rzeczywiście należy do Ciebie (skąd Apple ma wiedzieć, że nie zrobiłeś zdjęcia karty kolegi?). Weryfikacja odbywa się przez SMS, ale najpierw bank wysyła linka do regulaminu.

A kiedy zaakceptujesz “zgodę na płatności Apple Pay”, bank wyśle Ci SMS-a z kodem. Co ciekawe, nasz redakcyjny iPhone sam odczytał sobie kod z SMS-a i nie trzeba było go przepisywać. Hmmm… Od tej pory Twoja karta jest aktywna i można nią płacić.

Ale to tak naprawdę nie jest Twoja karta, a tzw. token DAN (Device Account Number), który na podstawie numeru Twojej prawdziwej karty wygenerowała i na urządzenie przesłała organizacja kartowa świadcząca dla Apple usługi “tokenizacji”. Apple nie zna Twojego numeru DAN — jest on przechowywany tylko w Twoim telefonie w tzw. Bezpiecznym Elemencie, dzięki czemu DAN nie jest dostępny nawet dla innych aplikacji na iPhonie. I dokładnie z tego powodu, jeśli chcesz dodać kartę na więcej niż jednym urządzeniu musisz przejść proces dodawania na każdym z urządzeń z nich z osobna. Dla jednej karty można wygenerować wiele tokenów DAN.

Po dodaniu karty do Apple Pay, polecamy ją zostawić w domu. Nie musisz jej nosić ze sobą, jeśli nie służy Ci także do wypłacania pieniędzy z bankomatu — choć i tu są już rozwiązania, które pozwalają wypłacić gotówkę z bankomatu bez użycia karty. Pozostawienie karty w domu zwiększy Twoje bezpieczeństwo — poniżej wyjaśniamy dlaczego.
Na marginesie, mBank przygotował też dla swoich klientów promocję. Po zapisaniu się na nią (przez ten link) po drugiej płatności Apple Pay na konto klienta wraca 20 PLN.

Jak płacić w sklepie przez Apple Pay?

Prosto. Jeśli dwa razy naciśniesz przycisk “sleep” w iPhonie X, iPhone poprzez FaceID sprawdzi, czy Ty to Ty, i jeśli tak, wyświetli ekran instruujący, aby zbliżyć telefon do sklepowego terminala. Jeśli masz starszego iPhona z TouchID, wystarczy, że położysz na nim palec i zbliżysz do terminala, aby zobaczyć ekran potwierdzenia płatności:

Dodajmy też, że korzystanie z Apple Pay jest bezpłatne, a do wykonania transakcji nie jest potrzebne połączenie z internetem. W trakcie płatności Apple zapisuje lokalizację miejsca, w którym odbyła się transakcja, ale można to wyłączyć w Opcjach Prywatności (Location Services for Wallet & Apple Pay). Transakcje Apple Pay podlegają tym samym limitom co limity danej karty (nie ma ograniczeń do 50PLN, ani pytania o PIN powyżej tej kwoty).


Temat bezpieczeństwa tradycyjnych kart płatniczych, także zbliżeniowych, poruszyliśmy w drugim odcinku naszego podcastu Na Podsłuchu. Dowiecie się z niego, nie tylko dlaczego w internecie warto jak najczęściej płacić kartą płatniczą (w umiejętny sposób), ale również dlaczego nikt nie zaatakuje was chodząc po autobusie ze sklepowym terminalem i przykładając go wam do kieszeni (po internecie krąży zdjęcie złodzieja z terminalem w autobusie, ale jest miejską legendą). Wiele z porad z tego odcinka pomoże wam też bezpieczniej korzystać z Apple Pay. Zapraszamy do podsłuchiwania!

Bezpieczeństwo Apple Pay

Apple Pay pod kątem bezpieczeństwa bije tradycyjne płatności zbliżeniowe na 4 sposoby:

1. Brak negatywnych skutków kradzieży karty

Zwróć uwagę, że nikt nie zapłaci Twoim telefonem — do odblokowania funkcji płatności zbliżeniowych Apple Pay konieczne jest uwierzytelnienie właściciela poprzez FaceID lub TouchID. W przypadku znalezionej karty zbliżeniowej, złodziej od razu może nią płacić. Każdy z takiej karty może skorzystać. Czyli Apple Pay jest bezpieczniejsze.

Jeśli boisz się, że ktoś mógłby siłowo wykonać płatność w sklepie Twoim telefonem i Twoim palcem lub twarzą, to możesz wyłączyć TouchID/FaceID dla Apple Pay — wtedy skorzystanie z Apple Pay będzie wymagało wpisania kodu:

Naszym zdaniem nie jest to jednak dobre rozwiazanie — ktoś kto zauważy jak wpisujesz przy kasie kod (albo to nagra: popatrz ile kamer jest w sklepie) będzie w stanie tym kodem odblokować Twój telefon. Służby często zwracają się o nagrania z monitoringu… Twarz lub palec są w tym przypadku lepsze — bo iPhone po pewnym czasie i tak wymusza logowanie kodem lub samodzielnie możesz włączyć “tryb paniki“. I wtedy nawet Ci, którzy kontrolują Twoją twarz lub palec, niczego nie wskórają.

Tak, czy inaczej, gdyby kiedyś zdarzyło Ci się zgubić odblokowany telefon, powiązanie karty z Apple Pay możesz unieważnić po stronie banku. W przypadku mBanku należy kliknąć na macierzystą kartę i wybrać “Płatności telefonem”:

2. Brak przypadkowych płatności

Tradycyjne zbliżeniowe karty płatnicze można złośliwie “nabić”. To bardzo często przywoływany i 100% realny scenariusz ataku …który jednakże nie zdarza się w rzeczywistości. W skrócie: wciąż prościej jest przystawić komuś nóż pod gardło i ukraść portfel niż bawić się w zbliżanie w autobusie terminalu płatniczego pod kieszenie podróżnych aby nabić ich karty płatnością do 50 PLN. Dlaczego? W szczegółach wyjaśniliśmy to w tym artykule.

Niezależnie od realności ataku z “lewym terminalem”, w przypadku Apple Pay to niemożliwe. Chip NFC aktywuje się tylko na ekranie płatności po uwierzytelnieniu. Wariat z terminalem chodzący po autobusie może Cię dotykać w telefon ile razy chce i nic się nie stanie.

3. Brak przekazywania danych karty do Apple i do Sklepu

I teraz najlepsze. Apple w ogóle nie zapisuje numeru Twojej karty. Nie może więc go więc odsprzedać firmom do celów “Big Data”. Wszystko dlatego, że Apple reprezentuje Twoją kartę przez unikatowy numer (inny niż numer karty), który jednoznacznie identyfikuje Twoją kartę po stronie banku. Z tego samego powodu także sklep, w którym skorzystasz z Apple Pay, nie pozna Twojego numeru karty i nie będzie w stanie niecnie go wykorzytać. To zwiększa Twoje bezpieczeństwo i prywatność.

Niewiele osób wie, że billingi z kart płatniczych to złoto. Te dane są wiele warte i sporo firm się o nie bije. Wszystko po to aby je analizować i na ich podstawie profilować użytkownika karty. To co, gdzie, kiedy i jak często kupuje pozwala sprzedawać mu więcej. Firmy wiedzą co, kiedy i komu podsunąć, aby osoba o danej charakterystyce korzystania z karty płatniczej była bardziej skora do zakupu tego czegoś. W przypadku Apple Pay taka korelacja billingu z płatności Apple Pay wraz z innymi pośrednikami w płatnościach nie jest możliwa.

4. Brak kradzieży danych osobowych właściciela karty

Z każdej karty zbliżeniowej można zdalnie odczytać pewne informacje, takie jak np. numer karty (czyt. globalnie unikatowy identyfikator), wartości ostatnich transakcji, a czasem nawet nazwisko posiadacza karty. Ktoś w autobusie (i to już całkiem realny atak) wyposażony w odpowiednią aplikację na telefon może te dane bardzo łatwo pozyskać. To olbrzymie zagrożenie dla prywatności. W przypadku Apple Pay, niemożliwe jest przypadkowe “odczytanie” danych właściciela karty (bo patrz pkt. 2) ani jej numeru (bo patrz pkt. 3). To zwiększa Twoją prywatność.

Od teraz także żadne bramki sklepowe, które oficjalnie służą tylko do odczytu tagów antykradzieżowych, nie będą w stanie “przypadkiem” zapisać numerów kart zbliżeniowych, które miałeś w kieszeni kiedy wchodziłeś do sklepu. Nie zrobią też na ich podstawie analiz jak często odwiedzasz sklep danej marki. O ile po dodaniu karty do Apple Pay, zostawisz ją w domu, a nie będziesz nosił ze sobą w portfelu ;)

Ciekawie też ma się porównanie Apple Pay do BLIK-a. Znów Apple Pay wypada lepiej. Ma chargeback (przynajmniej teoretycznie — sprawdzimy to niebawem w praktyce).

Czy są jakieś pułapki dotyczące korzystania z Apple Pay?

To wszystko wygląda na zbyt piękne, aby było prawdziwe. Zanurkujmy więc teraz na chwilę w technikalia i regulaminy. Może tam czają się jakieś niewygodne dla tej usługi kwestie? (Spoiler: nie).

Bezpieczeństwo Apple Pay jest gwarantowane tzw. Secure Element, który odpowiada za bezpieczne przechowywanie unikatowego numeru reprezentującego kartę płatniczą (tzw. DAN, ang. Device Account Number), generowanego na podstawie prawdziwego numeru karty (tzw. PAN, Permanent Account Number). Apple Pay korzysta ze standardów tokenizacji EMV i po skonfigurowaniu karty posługuje się już tylko DAN-em wraz z jednorazowymi, dynamicznie generowanymi kodami CVV (tzw. dCVV). Tak przesyłane dane kojarzone są z prawdziwym numerem karty dopiero po stronie banku lub operatorów kartowych. Dzięki temu mniej instytucji ma dostęp do prawdziwych danych karty i spada ryzyko niektórych oszustw. Takie podejście podnosi też prywatność zakupów — sprzedawcy nie posiadają w logach danych osobowych klienta.

Choć Apple nie przechowuje numeru karty, to może mieć dostęp do częstotliwości i szczegółów niektórych niekartowych transakcji i aby móc wykrywać oszustwa tego typu danymi może dzielić z jednostkami nadzorującymi i regulującymi. W kartowych transakcjach Apple jednak nie bierze udziału — wykonywanie płatności kartowych nie powoduje generowania logów po stronie serwerów Apple. Apple nie jest tu pośrednikiem. Nie ma więc też dostępu do tego co kupujesz. Widoczna na Twoim iPhonie historia ostatnich transakcji jest wysyłana tylko na Twój telefon i tam przechowywana. Apple nie ma w nią wglądu.

Ciekawostką natomiast jest to, że w trakcie zapisu do usługi Apple Pay, z urządzenia zbierane są takie informacje jak np. liczba wykonanych połączeń telefonicznych, czas w jakim urządzenie jest w ruchu. Zapewne po to, aby utrudnić oszustwa. Ponadto bank może dowiedzieć się gdzie dodajemy jego kartę, jeśli usługi lokalizacyjne są włączone, a także poznać nazwisko i adres związany z naszym kontem AppleID.

Tradycyjne karty zbliżeniowe to zło

Ataki na płatności zbliżeniowe istnieją. I wielokrotnie je opisywaliśmy. Weźmy choćby atak przedłużenia terminala, którym da się okraść dowolnego posiadacza karty zbliżeniowej będącego w zasięgu telefonu złodzieja. Czasem złodziej zamiast pieniędzy dzięki naszej karcie zbliżeniowej okradnie nas z naszych danych osobowych darmową aplikacją na telefon.

I choć te ataki zdarzają się raczej rzadko (dlaczego? To w szczegółach tłumaczymy w artykule pt. Czy można kogoś okraść zbliżeniowo w autobusie i tramwaju) to mimo wszystko karty zbliżeniowe postrzegamy jako zło i zbędne ryzyko dla bezpieczeństwa naszych pieniędzy jak i prywatności.

Największym plusem Apple Pay jest to, że znacząco obniża lub całkowicie uniemożliwia powyższe ataki. I w zasadzie nic nie tracimy w zamian. A jak dodamy do tego, że Apple Pay umożliwia i znacznie ułatwia też transakcje online… to jest to rozwiązanie niemalże idealne.

Jednym słowem: polecamy Apple Pay

Podsumowując, Apple Pay to dla niektórych redaktorów Niebezpiecznika, jedyna dopuszczalna forma płatności zbliżeniowych, która jest akceptowalna jeśli chodzi o bezpieczeństwo i prywatność transakcji zbliżeniowych.

Dodatkowym atutem Apple Pay jest to, że nawet kartę niezbliżeniową (a tylko z takich niektórzy z redaktorów Niebezpiecznika korzystają) można powiązać z Apple Pay. Czyli wciąż można mieć bezpieczną, niezbliżeniową kartę w portfelu (a jeszcze lepiej: pozostawioną w domu), niepodatną na opisane powyżej ataki i jednocześnie korzystać najbezpieczeniejszej formy płatności zbliżeniowych — Apple Pay.

W zasadzie, to chyba Apple powinno nam zapłacić za ten artykuł, bo tak zachwalamy ich rozwiązanie. Ale tego nie zrobili. Rekomendacja jest wynikiem naszej analizy. To naprawdę pierońsko dobre pod kątem bezpieczeństwa i prywatności podejście do płatności.

I żeby nie było — Android Pay / Google Pay to też niezłe rozwiązania. Ale niestety, z racji mniej kontrolowanego ekosystemu, nie tak dobre dla bezpieczeństwa i prywatności. Natomiast w większości przypadków i tak bezpieczniejsze od płacenia kartami zbliżeniowymi, więc jeśli możecie, a nie macie sprzętu Apple, skorzystajcie z płatności na Androidzie.

Przeczytaj także:

149 komentarzy

Dodaj komentarz
  1. Dodał bym tylko że płatność przez apple watch jest mniej bezpieczna bo zegarek jest odblokowany przez cały czas gdy jest zapięty na ręce, lepiej nie zasypiać w klubach go-go ;)

    • No jak sobie ustawisz że się nie blokuje to jest odblokowany, można go zabezpieczyć kodem, przy czym odblokowuje się razem z telefonem.

    • Jeśli się nie mylę to wcześniej dwa razy trzeba nacisnąć przycisk pod koronką i dopiero przyłożyć do czytnika.

    • Nie do końca – appe watch blokuje się samoczynnie w momencie zdjęcia zegarka z ręki. W praktyce więc hipotetyczny złodziej musiałby korzystać z zegarka, wraz z ręką ofiary kradzieży.

  2. Wazrto zaznaczyć że Apple Pay nie ma limitu na kwotę, ale terminale że starszym oprogramowaniem mogą prosić o PIN powyżej 50 zł. Wtedy można wpisać dowolne 4 cyfry, a firma zaleca 0000

  3. Alior dla firm nie dziala :/

  4. Pekao w ramach aplikacji PeoPay ma możliwość dodania karty z aplikacji. Podobno nawet nie trzeba jej mieć fizycznie – wystarczy, że zamówimy ją i już można nią płacić przez Pay.
    Artykuł skupia się na płatnościach w sklepach fizycznych, ale Pay to także płatności na stronach internetowych czy w aplikacjach (np. Ryanair czy Apple Store). O tyle fajne, że a) wygląda na bezpieczniejsze niż wpisywanie wszędzie numeru karty b) jest szybsze, bo wypełnia adres do wysyłki.
    Poza wyłączeniem płatności telefonem na stronie banku można też usunąć kartę z konkretnego urządzenia przez witrynę iCloud.

    • Z PeoPay też zapłacisz w internecie a w Polsce to w o wiele większej ilości miejsc niż Apple Pay. Wybierasz bank Pekao skanujesz kod QR akceptujesz odciskiem palca na fonie i już :)

    • Na szczęście Apple Pay jest też w Pekao :D Właśnie chcę kupować iPhone’a do całego ekosystemu i jeden duży minus to brak płatności NFC gdzie na Androidzie w apce PeoPay mogę płacić wszędzie potwierdzając odciskiem palca.

    • @Artiii: sprawdź zanim sam zaczniesz trollować.

      https://blog.revolut.com/introducing-disposable-virtual-cards/

    • Szczerze to Peopay jest znacznie lepsze niż to Apple pay. Artykuł pewnie ładnie zasponsorowany to trzeba pisać jakie to oh-ah

    • Daj znać, jak Peopay jest lepsze i jak z niego korzystać na iPhonie. Może być krótsza forma niż artykuł o Apple Pay, który — gdybyś doczytał do końca — wiedziałbyś, że nie jest “zasponsorowany”.

    • Potwierdzam, w PeoPay można aktywować Apple Pay bez karty, właśnie przećwiczyłem na zakurzonym koncie w pekao, chyba teraz je odkurze ;)
      Apka dodaje wirtualna kartę mastercard, jest dostępna od razu. Co ciekawe Wallet pyta czy dodać kartę do zegarka czy do telefonu.

    • @Mateusz – przecież Apple Pay działa po NFC.

    • Ale do PeoPay nie można podpiąc karty kredytowej

    • W Peopay mam podpietą kartę kredytową Pekao S.A., czyli można.
      Po za tym mam Iphona SE który teoretycznie nie ma NFC a juz płaciłem nim w sklepie za pomocą ApplePay.

    • iPhone SE ma NFC:
      https://www.gsmarena.com/apple_iphone_se-7969.php

  5. Revolut to robi lepiej.
    Wirtualne karty kredytowa – to jest to

    • Wręcz przeciwnie. Revolut robi to dużo gorzej. Zawrówno jeśli chodzi o sposób przechowywania karty, uwierzytelniania właściciela jak i analizowania wyciągów. No a w ogóle to porównałeś gruszki do samochodów. Apple Pay i Revolut to nie są tożsame rozwiązania.

    • To Revolut również daje karty kredytowe? Wydawalo mi się, że tylko debetówki mozna u nich brać. Jak zdobyć taka karte kredytową np. w dolarach?

    • Revolut służy do czegoś zupełnie innego, więc trafiłeś jak kulą w płot. Gdyby karty revoluta działały z apple pay – to by było coś.

    • Nie ma czegoś takiego jak wirtualna karta kredytowa w revolut trollu. I nie revolut nie robi tego lepiej. No nie ma żadnych płatności android pay czy też apple pay. Do tego ich polityka prywatności pozostawia wiele do życzenia.

    • Revolut nie daje ani karty debetowej ani kredytowej, tylko kartę typu prepaid.

      Poza tym, twierdzą że pracują nad integracją z Apple Pay i Android Pay:
      https://www.revolut.com/pl/help/przewodnik-po-revolut/wysy%C5%82ka-pieni%C4%99dzy-i-jak-je-wydawa%C4%87-z-revolut/jak-korzysta%C4%87-z-karty/czy-mog%C4%99-zap%C5%82aci%C4%87-za-pomoc%C4%85-apple-lub-android-pay

      Oczywistym killer ficzerem Revoluta, którego póki co Apple Pay zupełnie nie ogarnia to transakcje w obcych walutach bez spreadów. Bezpieczeństwo kart Revolut jest większe od tradycyjnych bankowych z kilku względów: po pierwsze ładujesz tam tylko tyle środków ile planujesz wykorzystać, po drugie bezpośrednio z apki możesz zabezpieczyć ich zachowanie, np. włączając geolokalizację, blokując transakcje zbliżeniowe, czy bankomatowe. Dzięki geolokalizacji nie da się użyć karty w znacząco innej lokalizacji niż tej w której znajduje się telefon.

    • Tylko jakim kosztem? (Podzielenia się danymi, podzielenia się danymi — odpowiedziało Puchatkowi leśne echo).
      Patrzyłeś co mają w politykach prywatności i regulaminach oraz kto finansuje Revoluta?
      Ktoś kto dużo płaci za granicą zresztą i tak szybko wpadnie w limity R.
      Podsumowując te objekcje, dla prywatnościowych freaków może być lepiej po prostu skorzystać z internetowych kantorów (niektóre mają bardzo korzystne spready) i wyrobić sobie kartę w danej walucie (ofc, jeśli dany bank pozwala) — w niektórych bankach są takie wydawane właśnie w formie prepaidów.

    • wlasnie korzystam a raczej probuje korzystac z takiej karty walutowej alior banku w USD w stanach i przychodzi to z roznym efektem. W sklepach gdzie nie mozesz uzywac funkcji chip tylko slide nie zadziala, a tam gdzie mozna uzywac chip wyskakuje komunikat o kilkuprocentowym “service fee” od transakcji. Tak wiec mimo bezplatnej karty z banku trzeba pilnowac i podejmowac decyzje podczas kazdej transakcji.

  6. Czy dane karty w Android Pay też nie są nigdzie przechowywane ? Zastosowana jest ta sama logika co w Apple Pay ?

    • Tak

    • Martwi mnie fakt, że w Android Pay trzeba podać kod CVC. Nie wiem czy w Apple Pay też tak jest.

    • W aplikacji mBanku nie trzeba podawać CVC, tylko przy dodawaniu przez aplikację Google Play.

    • @Marek a mnie bardziej martwi, że da się płacić zablokowanym telefonem (byle się ekran świecił),

    • Android pay i samo Google na dostęp do twoich transakcji w szerszym stopniu niż apple w swoich płatnościach. Dodatkowo Google sprzedaje dane big data.

    • @czesieq nie da się płacić zablokowanym telefonem, w google pay musisz odblokować telefon przed zapłaceniem

  7. Świetny artykuł, dziękuję. Tyle, że z tymi “niezbliżeniowymi” kartami chyba nie jest do końca tak, jak piszecie (a przynajmniej nie wszędzie). Moja karta z Alior Banku (płaska, debetowa MasterCard, bez możliwości płacenia zbliżeniowo – celowo, właśnie ze względów bezpieczeństwa taką zamawiałem) nie została przyjęta w Apple Pay. Na infolinii sympatyczna (choć nie mam pewności, że wiedząca co mówi) pani twierdzi, że jeśli nie mam karty z możliwością płacenia zbliżeniowo, to usługa Apple Pay nie może być dla takiej karty uruchomiona. Wy piszecie inaczej. To jak to jest wobec tego? ;)

    • U nas poszło z niezbliżeniową kredytówką mBanku

    • No to widocznie to, co możliwe dla mBanku jest technologicznie i systemowo nie do przejścia dla Alior Banku. Chyba, że tak zdecydowali – ale nie rozumiem gdzie tu logika. Będziecie może dopytywali o to Alior Bank, czy to już poza obszarem Waszych zainteresowań? Bo pewnie łatwiej będzie Wam zdobyć jakąś informację niż mnie dogadać się z infolinią, która w kółko powtarza formułki z jakiejś broszury.

    • Jest to opisane na stronie Aliora (https://www.aliorbank.pl/klienci-indywidualni/uslugi/apple-pay.html):

      Z jakimi kartami Alior Banku działa Apple Pay?
      Do usługi Apple Pay można dodać karty zbliżeniowe Mastercard Alior Banku (wydawanych dla klientów indywidualnych oraz firmowych), a także karty Kantoru walutowego.

      Zakładam, że to specyfika tego banku.

    • Niebezpieczniku, jak nazywa się Wasza karta kredytowa niezbliżeniowa, mam na myśli nazwę produktu. Dziękuję.

    • Z tego co się orientuję to karty kredytowe są dedykowane do płatności internetowych i takie są (taka została dodana przez redaktorów niebezpiecznika) możliwe do dodania do aplikacji – działa to podobnie jak płatność w Internecie. Debetowymi kartami bez “kombinacji” nie zapłacimy wszędzie, więc może to być tym spowodowane

    • @marcin: z debetówkami i transakcjami internetowymi to mit. WIele wiele lat temu rzeczywiście mogło tak być, ale spokojnie od 10 lat debetowe działają równie dobrze jak kredytowe.

  8. Fajnie gdyby kolejny artykuł to było porównanie Apple Pay i Google Pay.
    Z tego co kojarzę to Google też daje taką jakby kartę wirtualną ale zapewne dane o płatnościach sprzedaje dalej :(

  9. Od kiedy w iPhonach nowa aktualizacja dodała RFiD?

    • To działało od zawsze. Ale od północy pojawił się w naszym regionie przycisk dodania karty.

  10. Na czas robienia zrzutów ekranu do artykułó mogłeś sobie zmienić język na polski, ios go wbrew pozorom obsługuje ;-)

    • Naprawdę napisałem “artykułó?”. Jezus Maria.

    • Ktoś korzysta z języka polskiego, serio? Pewnie w wielu miejscach treść się nie mieści, nie mówiąc już o utrudnieniu w przypadku “googlania” za jakąś opcją (“jak to się do cholery oryginalnie nazywa”?)

    • Jestem Polakiem. Mieszkam w Polsce. Mówię po polsku. Jakiż język mógłbym mieć w telefonie??

  11. Ok .. wszystko pięknie ładnie .. a gdzie tag “ARTYKUŁ SPONSOROWANY? … niby analiza bezpieczeństwa ale tak naprawdę reklama i przewodnik jak to zrobić …

    Niby piszecie że nie zapłacili .. ale może tu jest jednak drugie dno .. albo mbank Wam zapłacił .. wszak wszędzie logo mbank wśród pozytywnych informacji (nie to co ostatnio) ..

    Może dodajcie dać (skoro nie sponsorowany) .. to tag “ARTYKUŁ JESZCZE NIE SPONSOROWANY” ;)

    • Spoko, pożycz nam swoje konto z innego banku, to zrobimy enrolment Twojej karty, oscreenujemy i podmienimy grafiki w tekście. Żaden problem :)

    • Ale tagu nie dodaliscie ;)

      Co do innych kont to przykro mi ale nie korzystam z polskich banków .. wiec nie pomogę

    • Jakiego tagu? To nie jest artykuł sponsorowany, ani przez Apple ani przez mBank. Nie mamy problemu z nieodpłatnym chwaleniem rzeczy, które po prostu są dobre. A Apple Pay jest dobre.

    • Jakie to polskie, oskarżanie kogoś bez dowodów, ot tak sobie.

  12. A co z Millennium? dalej w jesieni średniowiecza?

    • Nie masz obowiązku posiadania konta w tym banku.
      Ja mam i mi nie przeszkadza, że nie mam amerykańskiego syfu (czyt. iPhone).

  13. A możecie napisać albo podlinkować do artykułu dlaczego Android Pay jest mniej bezpieczne? Bo tak naprawdę w całym artykule tylko “ochy” i “achy” nt Apple Pay a brak jakichś konkretów. Co więcej przy każdym wspomnieniu o tym jak to Apple dodatkowo nas śledzi przy okazji tych płatności piszecie, że jest to “dobre”… Nie mówiąc już o braku konkretnych źródeł (całą wiedzę o bezpieczeństwie Apple Pay operacie na stronie jego supportu (?!) i dokumentacji specyfikacji o technologii tokenizacji).

    P. S. A tak w ogóle to czemu w tekście linkujecie parę razy w różnym kontekście do tego samego artykułu?

    • Bezpieczeństwo Android Pay zależy od modelu telefonu, co oznacza że w przeważającej większości słuchawek będzie zdecydowanie słabsze od iPhone. Dodatkowo Google przetwarza dane dotyczące transakcji więc Android Pay to również mniejsza prywatność niż Apple Pay. Wreszcie w przypadku Android Paya rozważyć trzeba także kwestie malware na telefonie — coś co w zamkniętym ekosystemie Apple jest w zasadzie niemożliwe.

      Opis działania Apple Pay (techniczny) masz dokładnie w tych dokumentach które są podlinkowane w artykule kilka razy, w każdym kontekście który tego wymaga. Specyfikacja to mało? Serio? To właśnie są konkretne źródła. Dodatkowo możesz też rzucić okiem na iOS security guide.

    • Dla google produktem jesteś Ty. Przecież nie wypuścili za darmo systemu mobilnego, żeby zrobić Ci dobrze. Wiedzieli, że w ten sposób zbiorą jak najwięcej danych, które sprzedają swoim kontrahentom.

      Z drugiej strony Apple żyje z wciskania Ci sprzętu i aplikacji. Im nie zależy tak bardzo na danych o Tobie a bardziej na tym, żeby proces zakupu był jak najmniej kłopotliwy. Dzięki temu wydasz u nich więcej.

  14. Od jakiegoś czasu używam Android Pay w irlandzkim Ulster Banku – karta nie ma opcji zbliżeniowej więc telefon zapewnia mi ten ficzer. Dodatkowo kartę mogę zostawić w domu bo jak będę potrzebował gotówki to z aplikacji mobilnej mogę wygenerować kod który potem wystarczy podać bankomatowi i ten da mi upragnione banknoty.

  15. Był bym spokojniejszy gdyby Apple pay pozwalało wybrać ręcznie bank zamiast przesyłać dane karty na ich serwery, a potem kasować (a może nie kasować).

    Napiszecie artykuł porównujący bliska, Apple pay i android pay? Ale taki bardziej techniczny

  16. Czy w przypadku problemów, oszustw, nieuczciwych sprzedawców itp. bez problemu możemy skorzystać tu z procedury Chargeback? Bank / wystawca karty nie będzie się wykręcał, że nie płaciliśmy bezpośrednio kartą?

  17. To, że zamiast numeru karty jest UUID nic nie zmienia – tak czy inaczej sklep dostaje UUID ktory jest taki sam za kazdym razem jak placisz.

    • Ale nie powtórzy nim transakcji. I nie wie kim jesteś.

    • Sklep zna numer pseudo-karty skojarzonej z naszym DANem. Nie zna CCV bo są dynamiczne (3 cyfrowe?). Tylko czy zawsze jakiś dCCV jest aktywny?

      Np co się stanie gdy sklep zacznie z automatu jechać wszystkie możliwe CCV? Co zrobi organizacja płatnicza?

  18. Czy bank traktuje Apple Pay jako zwykłe transakcje kartą? Czasem posiadacze kart mają pewne minimalne progi dotyczące transakcji kartą, np. min. 5 transakcji miesięcznie, min 200zł itp). Czy Apple Pay załatwia sprawę?

    • Też jestem tego ciekaw.

    • Z dużym prawdopodobieństwem tak, ponieważ ostatecznie to JEST transakcja kartowa, tj. przechodzi przez systemy Visa/Mastercard. Tyle, że poprzez frontend jakim jest Apple Pay.

  19. Jakaś ściema z tym artykułem ( pewnie robicie jakiś test bezpieczeństwa i jutro ?? Po jutrze ..??? Napiszecie kolejna analize) . Zawsze tacy sceptyczni we wszystkim, ostrożni w poruszaniu się po technologiach , od kiedy bank przesyła linki smsem w które kliknąć ;(

  20. to że Apple kasuje dane karty to miejska legenda, nie wierzę że apple czy google cokolwiek kasują, chyba że przez błąd pracowników

    • Trzyma je, po to aby nimi ukradkiem płacić w Twoim imieniu. Oh wait! To bez sensu! :D

  21. > nie ma ograniczeń do 50PLN, ani pytania o PIN powyżej tej kwoty

    Wygląda na to, że jednak są limity i terminal może zapytać o PIN:
    https://support.apple.com/en-us/ht207435

    • Raczej “limity mogą być”. W PL ponoć ich nie ma. Ale my i tak zachęcamy do ich ustawienia po stronie banku (bardziej dla kart niż dla Apple Pay, bo naprawdę ciężko w nieautoryzowany sposób Apple Payem zapłacić — kartą natomiast łatwo bardzo :).

  22. mBank działa dobrze, ale NestBank ma jakiś błąd, bo przy próbie autoryzacji podaje losowe (albo i nie) numery telefonu, na które jest wysyłany sms.

    • Dzwoniłeś pod któryś? Może to inny klient Nesta? Podeślij je — my z chęcią sprawdzimy. Może będzie temat do tagu “RODO” :>

    • Nie dzwoniłem, bo na szczęście tylko ostatnie 3 cyfry numeru były. Ale dwa razy podał mi różne, dopiero po jakichś 10 minutach się poprawiło i już mój telefon się pojawił. Więc może to jakieś bolączki wdrożeniowe.

    • Bzwbk to samo. Za każdym razem pokazuje inna końcówkę nie moich numerów i pomimo ze kod jakimś cudem trafia do mnie na właściwy numer to jednak nie aplikacja go odrzuca (nie wpisuje się również sam tak jak powinien automatycznie).

    • podawana była tylko niewłaściwa końcówka numeru telefonu na ktory teoretycznie zostal wyslany kod, kody dochodziły na wlasciwy numer ale z ogromnym opóźnieniem. teraz już wszystko działa

  23. Lepiej mieć kartę NFC w telefonie i nie przekazujemy danych karty firmom trzecim jak Apple, google itp. Bo to tylko kwestia czasu, aż od nich coś wycieknie…

    • Nie przeczytałeś chyba dokładnie artykułu. Tu nie ma co wyciec. Tak czy inaczej – co rozumiesz przez “mieć kartę NFC w telefonie”? W sensie zbliżeniówkę wślizgniętą pod obudowę telefonu? Jeśli tak, to bardzo zły pomysł.

    • “Jeśli tak, to bardzo zły pomysł.”

      Rozwiniesz tę myśl?

    • @Piotr Konieczny

      Dobra, wymyśliłem.
      No ale mój telefon nie ma NFC, żeby mi jakaś apka podstępnie z karty korzystała.

  24. No dobra, nie mam telefonu Appla i mam zflashowanego Androida bez usług Googla.

    Czy używanie zaklejonej karty, noszonej w portfelu wygłuszającym RFiD, nadal jest mniej bezpieczne niż używanie aplikacji na takim telefonie?
    I jak to się ma do aplikacji PeoPay banku Pekao?
    A może są jakieś fizyczne urządzenia, które zastępowały by Apple Pay?

  25. Super artykuł, chętnie zobaczyłbym jeszcze takie techniczne porównanie Apple Pay z Google Pay, o czym pisało tu już kilka osób.

  26. Bedę trochę sceptyczny:
    – Karte platnicza moge zawinac w sreberko
    – Na karcie platniczej nie zainstaluje zlosliwej aplikacji
    – Do karty jest potrzebny PIN, lub wyciągną teraz 100zl zblizeniowo jesli niezabezpieczona
    – Aplikacja jest bezpieczna dopóki ktos nie nauczy sie kopiowac wszystkie potrzebne dane i wykorzystac
    – FaceID, odciski lub inne – nie będą zabezpieczeniem, jesli te dane będą na telefonie lub da sie je skopiowac.
    – Aplikacja zeby byc bezpieczniejsza musialaby np. blokowac polaczenia po lokalizacji IP, ale to nie dokonca jest praktyczne, czasami nie bedzie dzialac. Warto tez dodac inne zabezpieczenia, ktore uzytkownik moglby sobie dostosowac do wlasnych potrzeb.
    – Karta platnicza ujawnia prywatne dane
    – Aplikacja ujawnia tylko wtedy jeśli zainstalujemy trojana lub zgubimy cale urządzenie i nie jest zabezpieczone lub gdy ktoś zdobył zabezpieczenia wcześniej, lub gdy mamy do czynienia z “0 day”.

    • 1. Telefonu nie musisz, bo NFC nie działa ciągle (jest o tym w artykule)
      2. Na Apple też nie zainstalujesz złośliwego oprogramowania (zamknięty ekosystem plus separacja aplikacji i Secure Element)
      3. Do telefonu potrzebna jest biometria (jest o tym w artykule), bez odblokowania nie zapłacisz nawet 1PLN.
      4. Danych nie da się skopiować, bo architektura (jest o tym w artykule).
      5. Blokowanie po IP? Eee?
      6. Tak, a Apple Pay nie (jest o tym w artykule)

    • Problemem zarówno stron internetowych jak i aplikacji jest uwierzytelnienie.
      O ile wyciąganie danych z telefonu jest prostsze by stworzyć unikalny klucz identyfikacyjny
      ( choć dane zawsze można podmienić ) o tyle blokowanie IP przed skanerami jest troche utrudnione.
      1. Na podstawie IP można stwierdzić teoretyczna lokalizacje i usługodawce.
      Na podstawie tych danych można tylko próbować blokować. Ponieważ IP często jest zmienne i nie jest przypisane na stale dla danego kraju.
      2. Kolejnym zabezpieczeniem, z którego może nawet banki korzystają, to blokada czasowa i limity. Czyli na czas podróży można by sobie wyłączyć płatności.
      3. Geolokalizacja, na podstawie sieci GSM, GLONASS, GPS, ASPN i dzięki mapie byśmy mogli zakreślić miejsce i obszar na którym moglibyśmy dokonywać tylko płatności.
      Lub nawet z których tylko terminali, sklepów.

  27. W androidzie jest lipa a nie bezpieczeństwo. Myślałem, że żeby zapłacić trzeba rozblokować telefon a tu… wystarczy włączyć. Normalnie wciskasz guzior, tel pyta o PIN rozblokowujący – nie podaję tylko przykładam do terminala i ZAPŁACONE!
    Bezpieczeństwo? Nie do końca mi się to podoba.

  28. >Czy są jakieś pułapki dotyczące korzystania z Apple Pay?

    Każdy program, usługa – zwłaszcza jeśli dotyczy to sfery finansowej – jest podatna na różne ataki. Apple Pay nie jest rozwiązaniem, które jest pozbawione wad i trochę żałuję, że autor przynajmniej nie zasygnalizował, że również korzystając z takiej formy płatności użytkownik może być narażony na ataki.

    W 2017 roku ekspert ds. bankowości elektronicznej z moskiewskiej firmy Positive Technologies Tim Junosow przedstawił podczas konferencji Black Hat dwie metody ataku na usługę Apple Pay. Jedna dotyczyła ataku na urządzenie, które miało Jailbreak’a (JB oczywiście z punktu widzenia bezpieczeństwa nie jest dobrym rozwiązaniem), natomiast druga metoda została przeprowadzona na urządzeniu, które miał oryginalne oprogramowanie. Według Junosowa atakujący może zarówno przechwycić ruch sieciowy (SSL) między serwerem Apple a urządzeniem użytkownika jak i zarejestrować skradzione dane karty kredytowej na własnym koncie Apple. Może do tego wykorzystać publiczny hotspot Wi-Fi lub fałszywy/podszywający się pod wiarygodny hotspot Wi-Fi.

    Należy stwierdzić, że Apple Pay jest jednak bezpieczniejszy od większości innych rozwiązań na rynku, jednak należy zachować ostrożność, a tego zabrakło mi w hurraoptymistycznym artykule.

    Dla zainteresowanych link do prezentacji, w której Junosow przedstawia bardziej szczegółowo jak wyglądały ataki na Apple Pay:

    https://www.blackhat.com/docs/us-17/thursday/us-17-Yunusov-The-Future-Of-Applepwn-How-To-Save-Your-Money.pdf

    • No rozmowa o Apple Pay na iPhonie z JB to trochę nie na miejscu. To jak ktoś kto płaci kartą zbliżeniową, podczas płatności wykrzykiwał numer karty i inne jej dane. Trochę przesadzam, ale nie można moim zdaniem rozmawiać o bezpieczeństwie czegoś na urządzeniu, które ktoś świadomie warstw bezpieczeństwa pozbawił. To nie jest na szczęście ani domyślna, ani tym bardziej zalecana konfiguracja sprzętu pod Apple Pay.

  29. Dlatego o tym napisałem, że z punktu widzenia bezpieczeństwa danych korzystanie z iPhone’a z JB to nie najlepszy pomysł. Nikt o zdrowych zmysłach raczej nie będzie używał Apple Pay na telefonie z JB.

    Podobny atak można jednak dokonać na urządzeniu, na którym nie dokonano JB, a to już rodzi pewne zastrzeżenia co do bezpieczeństwa całej usługi. Tak jak zaznaczyłem, nie oznacza to, że Apple Pay jest złe, natomiast nie jest pozbawiony wad.

  30. Przewaga tradycyjnej karty nad Apple Pay. W tradycyjnej karcie nie rozładuje ci się bateria.

    • Ciekawa uwaga, zwłaszcza dla ciągle oglądających sweetfocie albo filmiki przez telefon. Ale od czego powerbanki?

    • Przewaga tradycyjnej karty nad Apple Pay.Do tradycyjnej karty nie trzeba ze sobą zabierać powerbanku. ;)

  31. Wali mi tu artykułem sponsorowanym na kilometr… Mam androida i nie korzystając z android pay mam dokładnie to samo. Aplikacja ING także pozwala na płatności zbliżeniowe. Zabezpieczenie jest proste – nie zapłacisz przy zablokowanym ekranie. Jako, że mam blokadę na odcisk palca, cała procedura jest banalnie prosta: palec, płatność, palec. Wszystko trwa 3 sekundy. 0 ryzyka kradzieży, 0 podawania gdziekolwiek numeru karty (karta jest wirtualna, nie ma plastiku), 0 podawania jakichkolwiek innych danych. I przypominam, to wszystko BEZ android pay ;)

    • Wali mu tutaj nieprzeczytaniem artykułu do końca. Nagrasz filmik jak płacisz ta aplikacja ING na iPhonie?

    • Tylko zauważ ze metoda odcisków ma swoje wady.
      – jest to dobra metoda jeśli trzymasz telefon w kieszeni
      – jeśli zgubisz telefon, to na nim jest cala masa odcisków
      – a wpisywanie kodu może uchwycić kamera zwykła lub termiczna.
      To zabawa trochę jak z wykrywaniem robotów na stronach, im lepszy system, tym trudniej się zarejestrować na stronie.

    • Na androidzie w aplikacji ING nie trzeba odblokowywać ekranu aby zapłacić zbliżeniowo. Wystarczy włączyć.

  32. Szkoda, że VISA nie działa w Banku Pekao SA. Ale oni promują MasterCarda, więc może to specjalne działanie

  33. Wszystko w porządku z ApplePay. Tylko dlaczego potrzebuję do tego mieć konto iCloud?

    • M.in. do zablokowania płatności przez Find My iPhone jak zgubisz telefon bez Touch/FaceID i miałeś kod 0000

    • Wg. mnie to nie potrzebne. Szkoda, że aby skorzystać z ApplePay trzeba posiadać konto iCloud.

  34. A co ze zwrotami? W sklepach mówią, że zwrot tylko na tę kartę, którą było płacone. Będzie to działało?

    • Zwrot odbywa się poprzez autoryzację “płatności ujemnej” na terminalu – przykładasz telefon tak samo, jak płacąc. Z Google Pay działa bez zarzutu, nie widzę powodu, by z Apple Pay miało być inaczej

    • Dokładnie o to samo chciałem spytać!
      Ostatnio zrobiłem zakupy w sieci LIDL, jako że kupowany sprzęt okazał się nie działać, poszedłem go oddać i odzyskać pieniądze.

      Pomimo, że przy płaceniu użyłem płatności zbliżeniowej, to przy zwrocie kwoty na kartę LIDL wymaga wsunięcia karty do terminala i chyba nawet (tutaj nie mam pewności, bo nie pamiętam) podania PINu.

      Rozumiem, że aby odebrać pieniądze muszę przyjść do sklepu z kartą ale czy sklep – bank poprawnie ją dopasują co mojej płatności?

    • Próbowałem kiedyś zwrotu na stacji PKP na telefon z Google Pay I Nie zadziałało, terminal odrzucał.

    • To nie płatność “ujemna”, bo takiej protokół EMV po prostu nie przewiduje, tylko transakcja uznania – kolejna obok obciążenia, preautoryzacji, MO/TO i paru innych ;)

    • @Lukasz032 2018.06.25 08:57 | # |

      “To nie płatność “ujemna”, bo takiej protokół EMV po prostu nie przewiduje, tylko transakcja uznania – kolejna obok obciążenia, preautoryzacji, MO/TO i paru innych ;)”

      To nie “protokół EMV nie przewiduje”, ale ISO 8583. A że w EMV tag 9C, Transaction Type – to dwie pierwsze cyfry ISO 8583:1987 Processing Code – dobrze, że EMV bazuje na uznanych standardach. BTW – z punktu widzenia “protokołu EMV” preauth, MO/TO itp nie istnieją.

  35. Witam. Próbuję dodać kartę na iPhone SE iOS 10.3.3. Niestety nie jestem w stanie – pojawia się informacja: wymagana aktualizacja oprogramowania. Czy Apple Pay działa tylko na iOS 11? Nie chcę robić aktualizacji do tego systemu.

    • No przecież telefon wprost ci podał odpowiedź na to pytanie.

  36. Pogubilem sie. Zawsze niebezpiecznik uczyl nas troszke takiej “zdrowej paranoi”. Pamietacie arta o Rosji: kazde wifi Was zaatakuje, wszystko inwigilowanie, hakerzy czychaja na zdjecia Waszych pindoli na telefonach, bez NordVPN nie ruszacie sie z domu…
    A tu: wysylacie karte, ale spoko Apple obiecalo ze skasuje, linka esemesem? spoko klikamy bez obaw…
    Hmmm wolałem “zdrową paranoję”…

    • Dlatego ja mowie o tym ze to artykul sponsorowany pod przykrywka .. wali reklama na 100 km ..

    • A ja jako autor mówię, że nie. Ciekawe, kto wie lepiej…

    • Akurat link w SMS to szaleństwo po stronie mBanku, np. w T-mobile Bankowym regulamin pokazuje się w wallecie po zeskanowaniu karty, a w sms jest potem tylko kod autoryzujący.

  37. Iphone 5SE również posiada NFC.

    • Nie ma czegoś takiego jak iPhone 5SE. Albo iPhone 5 albo iPhone SE.

  38. Myślę że kto jak kto ale ekipa niebezpiecznika potrafi docenić dobre rozwiązanie a ApplePay jest dobre. Kolegom których to boli proponuję maść na ból d… ;-)

    • A ja myślę, że nie każdy ma to “must have” żeby świecić logiem jabłka, albo w ogóle mieć najnowsze topowe i najdroższe modele przenośnych zabawek dowolnego producenta. Czasem wystarczy coś podstawowego. Nbzp poleca to co sam używa, ale dla mnie tekst również wygląda jak notka prasowa (może tylko jest tak nieszczęśliwie napisany).

      Za to fragment “iPhone sam odczytał sobie kod z SMS-a i nie trzeba było go przepisywać” jest wystarczający aby stwierdzić, iż urządzenie jest zbyt inwazyjne. Rozumiem, że 3/4 populacji nie umie czegoś zrobić albo w ogóle myśleć, i telefon musi robić to za nich, ale bez przesady. Nie każdy oczekuje aż takiej automatyzacji i wyręczania, szczególnie że nie wiadomo co tak właściwie dzieje się “pod spodem”. No i również nie wierzę w kasowanie danych które się wysłało na nieznane serwery “tylko do weryfikacji”.

    • @Monter – dodawanie karty (mBank) – mam zrobić jej zdjęcie, wpisać do tego Cardholder Name (Expiry Date samo rozpoznało) i CVV. Taaaa…. Gorzej, że i z G-P jest tak samo.

      Ja się pytam – po co im to ? Podobno Pekao zrobiło to jak należy i dodać kartę można z poziomu aplikacji bankowej, bez dzielenia się z Applem (i Googlem) PANem, Exp Date, Cardholder Name i CVV. Tak, na pewno kasują – bo przecież tak powiedzieli ;)

      Co ciekawsze, ta zapowiadana szybkość rozwiązania dotyczy chyba tylko iPhone X (albo jakichś kolejnych jego wersji), bo u mnie jak na razie karta fizyczna jest szybsza dla kwot poniżej CVM Required Limit – gdzie G-P na wcale nie topowym telefonie potrzebuje jakieś 2/3 czasu (w stosunku do A-P). OK – nie widać tego, ale jak się pomyśli o zastosowaniach w transporcie (raczej powiedzmy TfL niż ZTM) to tam może to mieć znaczenie.

  39. “prościej jest przystawić komuś nóż pod gardło i ukraść portfel” – to złota myśl z jakiegoś filmu? Rozbój kwalifikowany vs przestępstwo przepołowione, na prawdę trzeba mieć niezłą fantazję, żeby posądzać jakiegoś zwykłego złodziejaszka o taką głupotę…

  40. Hmm, chyba zapomnieliście wstawić tekstu “artykuł sponsorowany” :D

  41. A czy np. bilet w takim MPK Wrocław da radę kupić – tak jak to jest w przypadku Google Pay? Nie chodzi mi o sam zakup, bo podejrzewam, że tak, ale o kontrolę biletową. Jak to wygląda?

    • Bilet da radę kupić, ale też zastanawiam się, jak to będzie działało w przypadku kontroli.

      @Niebezpiecznik, dacie radę dowiedzieć się coś więcej w tej kwestii?

    • Szczególnie ciekawe jest też jak to wygląda przy biletach gdzie zbliżenie do czytnika przy wsiadaniu rozpoczyna naliczanie opłaty, a drugie przy wysiadaniu je kończy.

  42. A co z platnosciami zblizeniowymi obslugiwanymi bezposrednio z aplikacji banku co umozliwia kilka bankow w swych androidowych aplikacjach oraz sam android pozwalajacy wybrac je zamiast google pay? Wtedy nie ma przekazywania karty do google’a

    • Na W10M jest to jedyna możliwość – system ma API do host card emulation, ale sam swojej usługi nie świadczy (bo zresztą nie musi – zawsze jedna strona mniej w procesie płatniczym).

  43. “Apple Pay korzysta ze standardów tokenizacji EMV i po skonfigurowaniu karty posługuje się już tylko DAN-em wraz z jednorazowymi, dynamicznie generowanymi kodami CVV (tzw. dCVV).”

    Hmm… dCVV – czyli mamy magstripe emulation (muszę to sprawdzić na własnych terminalach bo wierzyć mi się nie chce, że niby takie och, ach). Ciekawe czy dla MC też ;)

  44. Muszę pogadać z twórcami tej apki czemu nie zrobili jej na Androida… :/

  45. Hm, ciekawy artykuł z wymownym tytułem: http://samcik.blox.pl/2013/12/PeoPay-czy-PeoSpy-Sprawdz-co-wie-o-tobie.html , a szczególnie opisy:
    wykaz wszystkich uprawnień, które posiada aplikacja PeoPay: android.permission.ACCESS_NETWORK_SATE, android.permission.CALL_PHONE, android.permission.CAMERA, android.permission.FLASHLIGHT, android.permission.INTERNET, android.permission.GET_ACCOUNT, android.permission.NFC, android.permission.CALL_LOG, android.permission.READ_CONTACTS, android.permission.READ_PHONE_STATE, android.permission.READ_SMS, android.permission.RECEIVE_SMS, android.permission.VIBRATE, android.permission.WAKE_LOCK, android.permission.WRITE_SMS, softax.pekao.powerpay.permission. C2D_MESSAGE,
    itd.
    Trochę tego dużo …

  46. Dzisiaj płaciłem applePay – kwota ponad 50 zł – niestety terminal zachciał sobie PINu. Wedle Waszych wskazówek wbiłem 0000 i transakcja odrzucona – dopiero jak podałem prawidłowy pin (czyli 1111 hehe) transakcja przeszła… Czyli z tym bezpinem to jednak coś nie tak :(

  47. Niebezpiecznik, pod linkiem w zdaniu „wyjaśniliśmy to w tym artykule” jest odnośnik do tego właśnie, tego samego artykułu ;)

    • Zgadza się.
      W p. “2. Brak przypadkowych płatności” jest zły link.
      Dobry na ten sam temat jest w akapicie “Tradycyjne karty zbliżeniowe to zło”.

      Poza tym po raz kolejny (p. “4. Brak kradzieży danych osobowych właściciela karty”) nie wspominacie o stosunkowo tanich etui blokujących na karty. Przynajmniej tym razem nie promujecie droższych od nich portfeli blokujących ;-)

  48. Trochę spostrzeżeń, testy pod iOS 11.3.1 i pod Androidem 8.0.0, aplikacja mBanku, karta Visa (Debit):
    1. dodawanie karty – i tu i tu tragedia: robienie foty karcie i wpisywanie szczegółów. Po co skoro bank dane mojej karty ma, a na telefon mamy przecież wgrać dane po tokenizacji… Jeszcze podawanie CVV – bo bez tego się nie da przejść do kolejnego etapu, jak dla mnie dyskwalifikacja (dlatego też wyzerowałem limity a po testach wykasuję kartę z obu systemów albo i wystąpię o nową, bo ta przecież już została zeskimmowana przez Apple i Google).
    2. CDCVM kontra Online PIN – zaraz, to nie mogę mieć pod Apple Pay konfiguracji na Online PIN ? Serio ? Tak na siłę CDCVM ?
    3. Flight mode włączony i “trzepiemy” – hmm… to ile kodów jednorazowych telefon z G-P ściągnął ? Gdy będę miał więcej czasu to zobaczę kiedy powie, że już muszę włączyć net. A-P wcale nie lepsze, tam z tego co rozumiem można w offline cały czas robić transakcje. Jedyny plus G-P, to że po trzech transakcjach żąda podania kodu odblokowującego (choć telefon cały czas był aktywny).
    4. Jak wyłączyć NFC pod iOS ? Odpowiedź: “niedasie” (no tak, po co…). Przy wyłączonym ekranie zbliżenie do terminala – spowoduje obudzenie – a właściwie prośbę o weryfikację CDCVM. Da się to wyłączyć ? Pewnie “there is no app for that” ;)
    Choć akurat jedna rzecz mi się pod A-P podoba, wykrycie pola wywołuje Wallet i dopiero po weryfikacji CDCVM następuje aktywacja płatności po stronie telefonu, to nie jest tak że w GPO (czy kiedy indziej) dostaniemy info, że telefon nie był odblokowany.
    5. Analiza APDU trochę później. Ciekawe, bo niby i to i to Visa a już na pierwszy rzut oka widać różnice (np. inaczej skonstruowane odpowiedzi na SELECT PPSE).
    6. Timingi też później. Zapomniałem je włączyć ;) Chyba nie ma specjalnej różnicy.

    • Ad 6.
      Pewnie to kwestia telefonów na których testy robiłem – pożyczy ktoś iŚwiecidełko X do sprawdzenia paru transakcji ? ;)

      Aż nie chce mi się wierzyć, 310-360 ms w polu dla G-P versus 560-600 ms dla A-P. OK, nie mam pod ręką Contactless SmartSpy-a a mój jego odpowiednik jeszcze jest w powijakach, ale wydaje się że wyniki są wiarygodne.

    • Touch ID dość wolno działa i nie jest to tajemnicą.

    • @Edi, jeśli Twoja wypowiedź dotyczy punktu 6 (czyli, że w moich testach wyszło, że mój iPhone transakcję “mieli” wolniej o 200 ms niż średnio-wyższej klasy Androidofon) – TouchID nie ma na to wpływu.

      Weryfikacja CDCVM dokonywana jest zanim terminal faktycznie rozpocznie transakcję (a właściwie nawet zanim wyśle SELECT PPSE).

      Porównałem to z fizyczną kartą (tą zresztą, którą dodałem do A-P i G-P). G-P wins ;)
      G-P < fizyczna karta < A-P, to w kwestii czasu przetwarzania transakcji. Oczywiście z zastrzeżeniem, że dotyczy to konkretnego setupu.

    • To ja dorzucę jeszcze apkę od Pekao do klasyfikacji:
      – szybkość robienia transakcji praktycznie identyczna jak przy fizycznej karcie (z tym że fizyczna czasem na niektórych terminalach wali “przyłóż tylko jedną kartę” – głupota, dlaczego terminal czyta kartę po mifare, zamiast po EMV? a poza tym nawet w mifare da się gadać selektywnie z jedną spośród przytkniętych kart, co to za problem odfiltrować te, na których nie ma danych potrzebnych do przepchnięcia płatności?)
      – limit 50 PLN obowiązuje, w razie przekroczenia terminal zapyta o PIN (ten z aplikacji PeoPay, nie ten z karty)
      – tylko pięć tokenów do wykorzystania na jednym logowaniu do apki – każde następne przyłożenie telefonu do terminala budzi telefon, prosi o odblokowanie ekranu, włącza apkę i informuje “wyczerpana ilość transakcji, zaloguj się PIN-em by pobrać nowe tokeny” – z tym że terminal już wówczas zdąży dostać pusty CVV i wywala “karta nieobsługiwana”
      – tokeny odświeżają się za każdym logowaniem do apki – a więc płacąc np. w autobusie z identyfikacją po tokenie musimy mieć w zapasie podejścia, inaczej czytnik kontrolerski już tokenu do sprawdzenia nie dostanie – i po zapłaceniu za bilet nie można się zalogować do apki aż do wysiadnięcia z autobusu (bo to resetuje pobrane tokeny)
      – masterpass niestety wciąż nie funkcjonuje poprawnie na W10M, mimo że mam oficjalne pismo z banku, że aktualka poprawiająca to wyjdzie w pierwszej połowie 2018
      – W10M budzi się sam z uśpienia przy płatności NFC, zachowanie to można oczywiście zmienić, ale na tę chwilę tylko przez edycję zmiennej w rejestrze – w ustawieniach nie ma takiej opcji

    • @ukasz032 2018.06.26 04:59

      “To ja dorzucę jeszcze apkę od Pekao do klasyfikacji:
      – szybkość robienia transakcji praktycznie identyczna jak przy fizycznej karcie”

      Zmierzyłeś ? ;) Bo tak “na oko” to mi też wychodziła “praktycznie identyczna”, dopiero to co zobaczyłem w logach z terminala zaskoczyło mnie.

      “(z tym że fizyczna czasem na niektórych terminalach wali “przyłóż tylko jedną kartę” – głupota, dlaczego terminal czyta kartę po mifare, zamiast po EMV? a poza tym nawet w mifare da się gadać selektywnie z jedną spośród przytkniętych kart, co to za problem odfiltrować te, na których nie ma danych potrzebnych do przepchnięcia płatności?)”

      WAT ? “dlaczego terminal czyta kartę po mifare” – ??? Skąd to wytrzasnąłeś ?
      https://nowaytopay.wordpress.com/2018/03/07/ochrona-przed-sczytaniem-karty-zblizeniowej/ -> dwie karty komunikacyjne, pięć kart płatniczych – złożone razem, każdą z nich da się wybrać indywidualnie. Dlaczego ? ISO14443(A)
      “Przyłóż tylko jedną kartę” na terminalach miałem i z fizycznymi kartami i z telefonami i z koszmarnie drogim emulatorem kart używanym przy Type Approvalach. Zakłócenia potrafią “wygenerowac” kolizję. Terminale “by design” nie bawią się w antykolizję, to byłoby niepraktyczne (wybieranie spośród wielu kart przyłożonych do czytnika – gdzie jedną ręką by trzeba te karty trzymać “w polu”, drugą na terminalu wybierać właściwą – bez sensu).

      “– limit 50 PLN obowiązuje, w razie przekroczenia terminal zapyta o PIN (ten z aplikacji PeoPay, nie ten z karty)”

      Terminal poprosi o wprowadzenie Online PIN czy terminal zasygnalizuje konieczność weryfikacji CDCVM na telefonie ?

      “– tylko pięć tokenów do wykorzystania na jednym logowaniu do apki – każde następne przyłożenie telefonu do terminala budzi telefon, prosi o odblokowanie ekranu, włącza apkę i informuje […]”

      Z ApplePay na telefonie powinno się dać cały czas pracować offline, a co do Google Pay (spersonalizowane pod mBank) – jeszcze nie doszedłem ile można robić bez sieci. Ponad 20.

      “– tokeny odświeżają się za każdym logowaniem do apki – a więc płacąc np. w autobusie z identyfikacją po tokenie musimy mieć w zapasie podejścia”
      OK, to już wiem o którym rozwiązaniu mówił MG ;)
      Ciekawe czy PeoPay obsługuje PAR (Payment Account Reference) – choć podejrzewam, że nawet jeśli tak, to terminale to i tak ignorują.

    • ad 1) W mBanku możesz dodać kartę do Google Paya bez jej fizycznego posiadania. Tzn możesz poprosić o wydanie karty, dodać ją do GP zanim fizycznie do Ciebie trafi. Od wniosku o kartę do płaceniem za “jej” pomocą mijają minuty. Przynajmniej #umniedziała ;-)

  49. do Piotr Konieczny 2018.06.19 21:15 | # |
    a co powiedzie odnosnie płatności Garmin Pay? Działają bardziej jak android pay czy apple pay?

    • Garmin działa podobnie do Apple PAY – dodajemy do portfela kartę fizyczną. Garmin PAY nie ma nic wspólnego z google Pay

  50. Testów porównawczych (Apple- vs Google- Pay) ciąg dalszy:
    7. To wprawdzie kwestia sprzętu, chyba Apple miało więcej czasu na dopracowanie NFC w swoich telefonach ;) Kilka telefonów Androidowych sprawdzanych z moim “referencyjnym” terminalem “załapuje” z odległości 4.5-5 cm. iPhone od mniej więcej 6.5 cm. Ciekawe czy wszystkie tak mają.

  51. Niebezpieczniki, jak zrobić w sklepie zwrot na taką kartę podpiętą do Google/Apple Pay? Przecież nie włożymy jej na zwrot, możemy nią tylko zapłacić…

    • Teoretycznie transakcja typu “uznanie” (0x09) powinna przejść, choć nie wiem jak zachowa się system, jak ją odbierze i czy poprawnie przekaże ją dalej na kartę klienta – jak ktoś ma okazję przetestować, to byłoby cudnie :)

  52. Artykul sponsorowany?

    • Oj, nie przeczytałeś do końca przed skomentowaniem.

  53. Uwielbiam ten tok myślenia – jak coś chwalą to znaczy, że artykuł sposorowany. Przecież w internecie można tylko hejtować i narzekać, a jak coś chwalą to na pewno podkupieni.

  54. zapomnieliście wspomnieć ze nawet jak podepniemy dane karty to ta płatność już nie będzie uwzględniana przez bank jak płatność kartą i możemy się pożegnać z procedurą charge back

    • Moja płatność w Apple Pay pokazała sie w histori rachunku (Pekao) jako płatność kartą.

  55. Dlatego banki będą miały sporą konkurencję jeżeli do Polski wejdzie Samsung Pay, czy Apple Pay. Z tego powodu muszą wymyślać nowości które wydają się trochę głupie i bezużyteczne.
    Np. https://technologia.dziennikarstwoobywatelskie.pl/opaski-do-platnosci-zblizeniowych-od-mbanku/
    Nie sądzę, aby takie rozwiązanie przyjęło się dobrze.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.