Ciao Habr.
Recentemente, ho riscontrato molto spesso un malinteso tra gli utenti russi riguardo ai pagamenti senza contatto nell'elettronica indossabile a basso costo e al ruolo del chip NFC in questa funzionalità.
Un ruolo importante in questo è giocato da tutti i tipi di risorse di notizie, i cui autori sconsideratamente (o deliberatamente, come sacrificio al clickbait) si copiano e incollano a vicenda, inventando trucchi interessanti. La situazione peggiora con gli annunci di nuovi dispositivi, come la Xiaomi Mi Band 4, e le notizie sull'imminente arrivo del sistema di pagamento Xiaomi Mi Pay in Russia, in collaborazione con MasterCard.
Con questo post vorrei fugare il malinteso che si è sviluppato in RuNet su questo argomento.
Al momento, solo pochi tipi di dispositivi sono in grado di effettuare il pagamento contactless alla cassa utilizzando NFC:
- Apple Watch con Apple Pay;
- Smartwatch basato sul sistema operativo di Google (Android Wear, Wear OS) con supporto per Google Pay;
- Smartwatch Samsung su sistema operativo Tizen con sistema Samsung Pay;
- Fitbit Pay (non funziona in Russia) e forse alcune altre opzioni impopolari.
In generale, non ci sono molti di questi dispositivi sul mercato e, soprattutto, il prezzo per loro sarà uno svantaggio per molti nella scelta, insieme alla bassa autonomia.
Un paio di anni fa, sul mercato iniziarono ad apparire modelli con chip NFC di tutti i tipi di braccialetti fitness e orologi semi-intelligenti. Tutto è iniziato qui... I giornalisti confondono la gente con la possibilità di pagare senza contatto tramite Alipay, non capiscono come funziona e promettono l'imminente arrivo dei pagamenti mobili su ogni polso. Ma ancora nessun arrivo. Gli utenti vogliono credere che molto presto la loro economica Mi Band 3, prudentemente acquistata nella versione con NFC, sostituirà il loro portafoglio. Ma ahimè.
La stragrande maggioranza di questi gadget viene prodotta in Cina per il mercato interno. Molti con successivo ingresso nel mercato globale. Come vanno le cose con i pagamenti contactless nel mercato interno cinese? Due tecnologie dovrebbero essere evidenziate qui:
1. Pagamento tramite QR o codice a barre. I cinesi usano questa implementazione ovunque. Il punto è il seguente. Quasi ogni utente ha uno smartphone con sé. Con una probabilità del 99,9% lo smartphone ha “più del semplice messenger” WeChat, con il suo portafoglio elettronico, o l'applicazione Alipay, praticamente una banca elettronica del gruppo Alibaba. Esistono due modi per pagare alla cassa utilizzando queste applicazioni sul tuo smartphone. Diamo un'occhiata a loro.
1.1 L'utente scansiona il codice QR del venditore utilizzando la fotocamera dello smartphone. Inserisci l'importo richiesto oppure è già crittografato nel codice QR del venditore. Successivamente, conferma la transazione (password o dati biometrici). Il denaro viene immediatamente addebitato sul portafoglio dell’acquirente a favore del venditore. Questo metodo non può essere utilizzato su un braccialetto a causa della mancanza di una fotocamera.
1.2 L'utente mostra al venditore il suo QR/codice a barre generato dall'applicazione portafoglio. Il venditore "emette un segnale acustico" con il suo scanner di contanti portatile. Inoltre l'importo viene immediatamente stornato a favore del venditore. Di cosa ha bisogno il gadget a pagamento per questo? Ciò che ha è un display e alcuni cervelli. Pertanto, questo metodo di pagamento è stato implementato grazie agli sforzi di Alipay. Il dispositivo indossabile supportato è collegato all'app Alipay. Per lui viene creato un account sicuro separato nel portafoglio (con un limite di pagamento). Una coppia statica di codici (QR e codice a barre) viene assegnata al gadget e inserita in esso. Quindi il pagamento avviene offline, senza la partecipazione di uno smartphone. Le transazioni vengono trasmesse ai server Alipay dalla cassa del negozio. In effetti, questo è l'unico metodo per pagare gli acquisti in un negozio in Cina utilizzando tali dispositivi.
2. Il grande e potente NFC. Qui parleremo non solo del pagamento, ma anche di altre possibilità di braccialetti con chip NFC. Cominciamo, ovviamente, con i pagamenti. Cosa viene prima qui? Esatto, Sicurezza. Gli stessi miband, con i loro deboli controller e i chip NFC economici, non possono fornire un livello di sicurezza ragionevole, tanto che il produttore si fida di loro per emulare le carte bancarie dei suoi utenti. Ma la carta dei trasporti è un'altra questione. Di solito non hanno kilobucks in giro. In realtà, questo è uno degli scopi principali del chip NFC nei tracker di tipo miband. Il punto è il seguente. Il produttore collabora con i vettori pubblici (metropolitana, autobus urbani). Nell'applicazione proprietaria, nella sezione Funzioni NFC, l'utente acquista una carta di trasporto per il suo braccialetto. Virtuale, ovviamente, ma per un costo reale: circa 20 yuan (~ 200 rubli) di deposito non rimborsabile e il resto per il saldo (qui l'importo è a tua discrezione). La carta viene registrata nel braccialetto e poi utilizzata in assoluta autonomia per pagare i viaggi. È molto comodo, poiché non sono necessari movimenti aggiuntivi per attivarlo, basta alzare la mano verso il lettore e il pagamento viene effettuato. La carta si ricarica comodamente anche nell'applicazione braccialetto, utilizzando lo stesso WeChat o Alipay.
Un'altra funzione che accompagna i braccialetti con chip NFC è l'emulazione della carta di accesso. La funzione è utile e conveniente, ma in Cina, ad esempio, nelle realtà moderne è piuttosto tardi. Spiegherò perché. Innanzitutto, l'NFC funziona a 13,56 MHz. Di conseguenza, sono supportate solo le schede con questa frequenza. In secondo luogo, è ancora una volta una questione di sicurezza. Il braccialetto può solo leggere ed emulare correttamente le carte senza crittografia e, come si è scoperto (grazie al forum 4pda), la lunghezza dell'UID dovrebbe essere di 4 byte. Altrimenti, anche se copi la tessera, il lettore all'ingresso non ti aprirà la porta. Qui i produttori agiscono diversamente. Ad esempio, l'applicazione MiFit semplicemente non ti consentirà di copiare una carta non supportata. Ma l'applicazione nativa del braccialetto Hey+ copia spudoratamente tutto ciò che può, ma non garantisce il corretto funzionamento. Come ha dimostrato la pratica, è ancora necessario cercare un citofono o un posto di blocco in Cina, così pericoloso. Non ho trovato.
In Russia le cose vanno meglio in termini di usabilità. Ad esempio, gli utenti dello stesso forum confermano il normale funzionamento con la tessera pass-through Moskvyonok e con alcuni citofoni.
C'è anche un'altra opportunità interessante: creare una carta “pulita”, recarsi presso la società di gestione e registrarla nel loro sistema. Purtroppo non ho potuto testarlo per una serie di motivi. Uno di loro non mi ha lasciato una sola possibilità: lo stesso famigerato MiFit di Xiaomi, per creare una carta del genere, chiede di confermare la mia identità utilizzando un documento d'identità cinese, di cui non posso avere. E in generale la sicurezza cinese non dorme. Se queste funzioni sono disponibili per l'uso con il braccialetto Hey+, MiFit si rifiuta semplicemente di attivare le funzioni NFC per gli account registrati al di fuori della Cina continentale.
Immagino che finirò qui.
Tutto quanto sopra si basa sull'esperienza personale e sulle conclusioni logiche che ne derivano.
E le conclusioni sono le seguenti: non dovresti aspettarti la comparsa di sistemi di pagamento nella classe dei fitness tracker economici, anche con un chip NFC integrato. Anche alla luce delle notizie sull'imminente lancio di Mi Pay in Russia. Se lo stesso Mi Pay apparirà in futuro su una delle Mi Band ancora da presentare, non accadrà prima di essere testato nel suo mercato interno cinese. E non si parla ancora di questo.
Spero che questo articolo sia utile alla comunità e a RuNet nel suo insieme. Le sane critiche sono benvenute.
Fonte: habr.com