Hej Habr.
Ostatnio dość często spotykam się z nieporozumieniami wśród rosyjskich użytkowników odnośnie płatności zbliżeniowych w taniej elektronice ubieralnej i roli chipa NFC w tej funkcjonalności.
Dużą rolę odgrywają w tym wszelkiego rodzaju zasoby informacyjne, których autorzy bezmyślnie (lub celowo, w ramach ofiary dla clickbaitu) kopiują się nawzajem, wymyślając ciekawe chwyty. Sytuacja pogarsza się wraz z zapowiedziami nowych urządzeń, takich jak Xiaomi Mi Band 4, oraz wiadomościami o rychłym pojawieniu się systemu płatności Xiaomi Mi Pay w Rosji we współpracy z MasterCard.
Tym postem chciałbym rozwiać nieporozumienia, jakie narosły w RuNet na ten temat.
Na chwilę obecną jedynie kilka typów urządzeń umożliwia płatność zbliżeniową przy kasie z wykorzystaniem technologii NFC:
- Apple Watch z Apple Pay;
- Inteligentny zegarek oparty na systemie operacyjnym firmy Google (Android Wear, Wear OS) z obsługą Google Pay;
- Inteligentny zegarek od Samsunga na Tizen OS z systemem Samsung Pay;
- Fitbit Pay (nie działa w Rosji) i być może kilka innych niepopularnych opcji.
Ogólnie rzecz biorąc, na rynku nie ma wielu takich urządzeń, a co najważniejsze, cena za nie będzie dla wielu wadą przy wyborze, wraz z niską autonomią.
Kilka lat temu na rynku wszelkiego rodzaju bransoletek fitness i zegarków półinteligentnych zaczęły pojawiać się modele z chipem NFC. Od tego się zaczęło... Dziennikarze mylą ludzi z możliwością płatności zbliżeniowych za pomocą Alipay, nie rozumiejąc, jak to działa, i obiecują rychłe pojawienie się płatności mobilnych na każdym nadgarstku. Ale nadal nie ma przybycia. Użytkownicy chcą wierzyć, że już niedługo ich tani Mi Band 3, roztropnie zakupiony w wersji z NFC, zastąpi ich portfel. Ale niestety.
Zdecydowana większość tego typu gadżetów produkowana jest w Chinach na rynek krajowy. Wiele z późniejszym wejściem na rynek światowy. Jak wygląda sytuacja z płatnościami zbliżeniowymi na chińskim rynku krajowym? Warto tu wyróżnić dwie technologie:
1. Płatność za pomocą kodu QR lub kodu kreskowego. Chińczycy wszędzie stosują tę implementację. Sprawa jest następująca. Prawie każdy użytkownik ma przy sobie smartfon. Z prawdopodobieństwem 99,9% smartfon ma „więcej niż tylko komunikator” WeChat z elektronicznym portfelem, czy aplikację Alipay – praktycznie bank elektroniczny z grupy Alibaba. Istnieją dwa sposoby płacenia przy kasie za pomocą tych aplikacji na smartfonie. Przyjrzyjmy się im.
1.1 Użytkownik skanuje kod QR sprzedawcy za pomocą aparatu w smartfonie. Wprowadź wymaganą kwotę lub jest ona już zaszyfrowana w kodzie QR sprzedawcy. Następnie potwierdza transakcję (hasło lub dane biometryczne). Pieniądze są natychmiast pobierane z portfela kupującego na rzecz sprzedającego. Tej metody nie można zastosować na bransoletce ze względu na brak aparatu.
1.2 Użytkownik pokazuje sprzedawcy swój kod QR/kreskowy wygenerowany przez aplikację portfela. Sprzedawca „pisze” za pomocą ręcznego skanera gotówki. Kwota jest również natychmiast odpisywana na rzecz sprzedającego. Czego do tego potrzebuje płatniczy gadżet? Ma wyświetlacz i trochę mózgu. Dlatego ta metoda płatności została wdrożona dzięki staraniom Alipay. Obsługiwane urządzenie do noszenia jest połączone z aplikacją Alipay. W portfelu tworzone jest dla niego osobne, bezpieczne konto (z limitem wpłat). Statyczna para kodów (QR i kod kreskowy) jest przypisana do gadżetu i wprowadzona do niego. Następnie płatność odbywa się w trybie offline, bez udziału smartfona. Transakcje przesyłane są do serwerów Alipay z kasy sklepu. Tak naprawdę jest to jedyny sposób płacenia za zakupy w sklepie w Chinach przy użyciu takich urządzeń.
2. Świetny i potężny NFC. Tutaj porozmawiamy nie tylko o płatności, ale także o innych możliwościach bransoletek z chipem NFC. Zacznijmy oczywiście od płatności. Co jest tutaj pierwsze? Zgadza się, ochrona. Te same mibandy, ze swoimi marnymi kontrolerami i tanimi chipami NFC, nie są w stanie zapewnić rozsądnego poziomu bezpieczeństwa, aby producent ufał im, że emulują karty bankowe swoich użytkowników. Ale karta transportowa to już inna sprawa. Zwykle nie mają przy sobie kilobucków. Właściwie jest to jeden z głównych celów chipa NFC w trackerach typu miband. Sprawa jest następująca. Producent współpracuje z przewoźnikami publicznymi (metro, autobusy miejskie). W autorskiej aplikacji, w sekcji funkcji NFC, użytkownik wykupuje kartę transportową do swojej bransoletki. Wirtualnie oczywiście, ale za realny koszt - około 20 juanów (~200 rubli) bezzwrotny depozyt, a reszta za saldo (tutaj kwota jest według własnego uznania). Karta jest zapisywana w bransoletce, a następnie wykorzystywana całkowicie autonomicznie do płacenia za podróż. Jest to bardzo wygodne, ponieważ do jego uruchomienia nie są potrzebne żadne dodatkowe ruchy, wystarczy podnieść rękę do czytnika i płatność zostaje zrealizowana. Kartę można także wygodnie doładować w aplikacji bransoletkowej, korzystając z tego samego WeChat lub Alipay.
Kolejną funkcją, która towarzyszy bransoletom z chipem NFC, jest emulacja karty dostępu. Funkcja jest przydatna i wygodna, ale np. w Chinach we współczesnych realiach jest już dość późno. Wyjaśnię dlaczego. Po pierwsze, NFC działa na częstotliwości 13,56 MHz. W związku z tym obsługiwane są tylko karty o tej częstotliwości. Po drugie, jest to znowu kwestia bezpieczeństwa. Bransoletka potrafi jedynie czytać i poprawnie emulować karty bez szyfrowania i jak się okazało (dzięki forum 4pda) długość UID powinna wynosić 4 bajty. W przeciwnym razie, nawet jeśli skopiujesz kartę, czytnik przy wejściu nie otworzy Ci drzwi. Tutaj producenci postępują inaczej. Przykładowo aplikacja MiFit po prostu nie pozwoli na skopiowanie nieobsługiwanej karty. Ale natywna aplikacja bransoletki Hey+ bezwstydnie kopiuje wszystko, co może, ale nie gwarantuje poprawnego działania. Jak pokazała praktyka, nadal trzeba szukać domofonu lub punktu kontrolnego w Chinach, który jest tak niebezpieczny. Nie znalazłem.
W Rosji sytuacja jest lepsza pod względem użyteczności. Na przykład użytkownicy tego samego forum potwierdzają normalne działanie z kartą przelotową Moskvyonok i niektórymi domofonami.
Jest też inna ciekawa możliwość - stworzyć „czystą” kartę, udać się do firmy zarządzającej i zarejestrować ją w swoim systemie. Niestety z kilku powodów nie udało mi się tego sprawdzić. Jeden z nich nie pozostawił mi ani jednej szansy – ten sam osławiony MiFit od Xiaomi, aby stworzyć taką kartę, prosi o potwierdzenie mojej tożsamości za pomocą chińskiego dowodu osobistego, którego nie mogę mieć. I ogólnie chińskie bezpieczeństwo nie śpi. Jeśli te funkcje są dostępne do użytku z bransoletką Hey+, MiFit po prostu odmawia aktywacji funkcji NFC dla kont zarejestrowanych poza Chinami kontynentalnymi.
Chyba na tym zakończę.
Wszystko powyższe opiera się na osobistym doświadczeniu i logicznych wnioskach z niego.
A wnioski są następujące: nie należy spodziewać się pojawienia się systemów płatności w klasie tanich trackerów fitness, nawet z wbudowanym chipem NFC. Nawet w świetle wiadomości o rychłej premierze Mi Pay w Rosji. Jeśli ten sam Mi Pay pojawi się w przyszłości na jednym z jeszcze zaprezentowanych Mi Bandów, stanie się to dopiero po przetestowaniu go na rodzimym rynku krajowym w Chinach. A o tym na razie nie ma mowy.
Mam nadzieję, że ten artykuł będzie przydatny dla społeczności i RuNet jako całości. Zdrowa krytyka mile widziana.
Źródło: www.habr.com