Привіт Хабр.
Останнім часом я досить часто стикаюся з нерозумінням російських користувачів щодо безконтактних платежів у дешевій електроніці, що носиться, і ролі NFC чіпа в даній функціональності.
Велику роль у цьому відіграють різноманітні ресурси новин, автори яких бездумно (або ж спеціально, в жертву клікбейту) копіпастять один одного, додумуючи цікаві фішки. Ситуація посилюється з анонсами нових пристроїв, таких як Xiaomi Mi Band 4, та новинами про швидкий прихід до Росії платіжної системи Xiaomi Mi Pay, у співпраці з MasterCard.
Цим постом хотілося б розвіяти нерозуміння, що склалося в рунеті на цю тему.
На даний момент безконтактну оплату на касі, з використанням NFC, можуть лише кілька видів пристроїв:
- Apple Watch із системою Apple Pay;
- Смарт годинник на базі операційної системи від Google (Android Wear, Wear OS) з підтримкою Google Pay;
- Смарт годинник від Samsung на Tizen OS із системою Samsung Pay;
- Fitbit Pay (який не працює в Росії) і, можливо, ще кілька не популярних варіантів.
Загалом таких пристроїв на ринку не так багато, і, головне, ціна на них для багатьох стане мінусом при виборі, поряд з малою автономністю.
Кілька років тому на ринку всіляких фітнес-браслетів і напіврозумних годинників стали з'являтися моделі з NFC чіпом. Тут те й почалося… Журналісти плутають людей можливістю безконтактної оплати за допомогою Alipay, не розуміючи, як вона влаштована, обіцяють швидкий прихід мобільних платежів на кожне зап'ястя. А приходу все нема. Користувачам хочеться вірити, що ось-ось, і незабаром їх дешевий Mi Band 3, завбачливо куплений у версії з NFC, замінить їм гаманець. Але нажаль.
Переважна більшість таких гаджетів виробляється в Китаї для внутрішнього ринку. Багато хто з наступним виходом на ринок глобальний. Які ж справи з безконтактною оплатою на внутрішньому ринку Китаю? Тут слід виділити дві технології:
1. Оплата за допомогою QR або штрих-коду. Таку реалізацію китайці використовують повсюдно. Суть така. Практично кожен користувач має смартфон. У смартфоні, з вірогідністю 99,9%, встановлений «більше, ніж просто месенджер» WeChat, з його електронним гаманцем, або додаток Alipay — практично електронний банк від Alibaba group. Для оплати на касі за допомогою даних програм на смартфоні існує два способи. Розглянемо їх.
1.1 Користувач сканує QR-код продавця за допомогою камери смартфона. Вводить потрібну суму або вона вже зашифрована в QR коді продавця. Далі підтверджує транзакцію (пароль чи біометрія). Гроші миттєво списуються з гаманця покупця на користь продавця. Такий спосіб не може бути використаний на браслеті через відсутність камери.
1.2 Користувач показує продавцю свій QR/штрих-код, згенерований додатком-гаманцем. Продавець «пікає» його своїм ручним касовим сканером. Сума так само миттєво списується на користь продавця. Що для цього потрібно гаджету-платнику? Те, що має — дисплей і трохи мізків. Тому цей спосіб оплати був реалізований зусиллями Alipay. Підтримуваний пристрій прив'язується до програми Alipay. У гаманці йому створюється окремий безпечний рахунок (з лімітом на оплату). Гаджету присвоюється і заводиться до нього статична пара кодів (QR та штрих). Далі оплата відбувається офлайн, без участі смартфона. Транзакції передаються на сервер Alipay з каси магазину. Власне, це єдиний метод оплати покупок у магазині в Китаї за допомогою таких пристроїв.
2. Великий та могутній NFC. Тут поговоримо не лише про оплату, а й про інші можливості браслетів з чіпом NFC. Почнемо, звісно, з платежів. Тут на першому місці що? Правильно, Безпека. Не можуть ті ж мібенди, з їхніми кволенькими контролерами та дешевими NFC чіпами забезпечити осудний рівень безпеки, щоб виробник довірив їм емуляцію банківських карток своїх користувачів. Але ось транспортна карта – це інша справа. На них зазвичай кілобакси не валяються. Власне, це є одна з головних цілей NFC чіпа в мібендоподібних трекерах. Суть така. Виробник співпрацює із громадськими перевізниками (метро, міські автобуси). У фірмовому додатку, розділ функцій NFC, користувач купує транспортну карту для свого браслета. Віртуальну, звісно, але за реальну вартість — близько 20 юанів (~200р) безповоротний депозит та інше на баланс (тут уже сума на розсуд). Карта записується в браслет і надалі абсолютно автономно використовується для оплати проїзду. Дуже зручно, так як для спрацьовування ніяких зайвих рухів тіла не потрібно, просто піднеси руку до зчитувача - і оплата зроблена. Поповнюється карта, так само зручно, у додатку браслета, з використанням тих самих WeChat або Alipay.
Ще одна функція, яка супроводжує браслети з чіпом NFC - емуляція карт доступу. Функція корисна і зручна, але, в тому ж Китаї, в сучасних реаліях запізнилася. Поясню чому. По-перше, NFC працює на частоті 13,56 МГц. Відповідно, підтримуються тільки карти з даною частотою. По-друге, справа знову у безпеці. Браслет може вважати і коректно емулювати лише карти без шифрування і, як з'ясувалося (дякую форуму 4pda), довжина UID має бути 4 байти. В іншому випадку, навіть якщо ви скопіюєте карту, то зчитувач на прохідний вам двері не відчинить. Тут виробники роблять по-різному. Наприклад, програма MiFit просто не дасть вам скопіювати непідтримувану картку. А ось рідний додаток браслета Hey+ без сорому копіює, все що може, але не гарантує коректну роботу. Як показала практика, настільки небезпечний домофон чи прохідну у Китаї потрібно ще пошукати. Я не знайшов.
У Росії справи кращі, з погляду можливості використання. Наприклад, користувачі того ж форуму підтверджують нормальну роботу з прохідною картою «Москвяня» і з деякими домофонами.
Також є і інша цікава можливість – створити «чисту» карту, піти в керуючу компанію і зареєструвати її в їх системі. Мені, на жаль, протестувати не вдалося з низки причин. Одна з них не залишила мені жодного шансу - той самий горезвісний MiFit від Xiaomi для створення такої карти просить підтвердити особистість, використовуючи китайський ID, якого я мати не можу. Та й загалом китайська безпека не спить. Якщо з браслетом Hey+ ці функції відкриті для використання, то MiFit просто відмовляється активувати функції NFC для облікових записів, зареєстрованих поза материковим Китаєм.
На цьому, мабуть, і закінчу.
Все вищевикладене ґрунтується на особистому досвіді та логічних висновках з нього.
А висновки такі: не варто очікувати на появу платіжних систем у класі дешевих фітнес-трекерів, навіть із вбудованим NFC чіпом. Навіть у світлі новин про швидкий запуск Mi Pay в Росії. Якщо той самий Mi Pay і з'явиться в майбутньому на одному з ще не представлених Mi Band, то не раніше, ніж його обкатають на внутрішньому ринку Китаю. А про це поки що і мови немає.
Сподіваюся, ця стаття буде корисною спільноті, і рунету в цілому. Здорова критика схвалюється.
Джерело: habr.com