Med Apples lansering av iPhone 6 ble det klart at mobil betaling er et stort skritt nærmere å bli hverdagskost. (Bilde: NTB scanpix)

NFC APPLE PAY

– Mobilbetaling kan ikke bli like sikkert som chip og PIN

Apple lanserer mobil betaling, men er det trygt nok?

NFC

Står for Near Field Communication

Standard for radiokommunikasjon mellom enheter på kort avstand

Med Apples lansering av iPhone 6 ble det klart at mobil betaling er et stort skritt nærmere å bli et hverdagsfenomen.

Med iPhone 6 lanseres nemlig også Apple Pay, som skal erstatte bankkortene og gjøre mobilen til vår foretrukne betalingsløsning, ved hjelp av NFC-standarden.

Apple har de store kortselskapene og flere butikkjeder med på laget, og det blir mulighet for å betale med iPhone i mange amerikanske butikker allered i oktober.

Når det hele kommer til Norge har Apple foreløpig ikke sagt noe om.

Sikkert?

Apple er på ingen måte noen pioner på NFC-feltet, men har snarere vært motvillig til å implementere standarden i sine mobiler, som har vært på mange Android-telefoner i flere år.

Men Apple-satsingen kan fort bli dytten som gjør at NFC-betaling ta av. Da er det store spørsmålet hvor lett det er å misbruke slike løsninger.

Allerede i 2009 viste den norske masterstudenten Henning Siitonen Kortvedt hvor lett det er å tyvlytte på informasjon som sendes via NFC-standarden. Hans professor den gangen var Stig Mjølnsnes, som forsker på datasikkerhet ved NTNU.

Hvor lett er det egentlig å snappe opp kredittkortinformasjon med NFC?

– Å spørre om mobil betaling med NFC er sikkert, er som å spørre om hjulene på en bil er sikre. Det kommer helt an på hvilke løsninger produsentene bruker.

Les også: Java-fri nettbankløsning blir klar denne måneden

German crypto specialist and chief scientist with Berlin's SR Labs Karsten Nohl poses in his office in Berlin, July 30, 2014. USB devices such as mice, keyboards and thumb-drives can be used to hack into personal computers in a potential new class of attacks that evade all known security protections, Nohl revealed on Thursday. Picture taken July 30, 2014.  REUTERS/Thomas Peter (GERMANY - Tags: SCIENCE TECHNOLOGY CRIME)
Karsten Nohl mener at smarttelefon-betaling ikke kan bli like sikkert som chip og PIN. NTB scanpix

Fingeravtrykk

Karsten Nohl er en internasjonalt anerkjent kryptospesialist ved Security Research Labs i Tyskland. Han sier også at NFC kan være så mangt.

– Enhver metode som går vekk fra de utdaterte bankortene med magnetstripe vil være en forbedring. Men NFC er en blanda pose av både gode og dårlige betalingsssystemer.

Apple har ikke gitt noe mye informasjon om krypteringsmetoden, som kombinerer NFC, Touch ID (fingeravtrykksgjenkjenning) og en såkalt "Secure Element chip". Denne chippen er det som utgjør mobilens unike identitet, og skal hindre at betalingsløsningen kan klones.

Apple benytter en metode kalt "tokenization", som selskapet tok patent på i 2009, skriver International Business Times.

Under betalingen benyttes en kompleks engangskode mellom telefon og terminal. Det betyr at selv om noen klarer å snappe opp iformasjonen som sendes, vil den være ubrukelig.

Les også: Slik fungerer NFC og mobilbetaling

Fristende mål

Nohl mener at smarttelefon-betaling ikke kan bli like sikkert som chip og PIN, av to grunner.

– All NFC-betaling har to svakheter: telefonens operativsystem og telefonens bruker. Virus på telefonen kan utløse betaling, eller lure brukeren til å gjøre det.

Også Mjølsnes mener det alltid vil være noen som prøver å misbruke svakheter ved nye systemer. Også hans egne vil trolig prøve å knekke koden.

– Dette vil være fristende mål for mange. Inklusive oss på universitetene, men vi gjør det for å være en kvalitetskontrollør, og passe på at banker og mobilselskaper ikke sluntrer unna med billige systemer som ikke er gode nok.

Forøvrig skal ingen informasjon om kortbruken bli lagret av Apple. De vet ikke hva du kjøper, og personen i kassa ser ikke hvem du er, skriver nettstedet Engadget.

Les også:

Er det verdt å oppgradere til iPhone 6?

TUs lesere har talt: Dette er de mest irriterende programmene

Ny programvare slår tilbake dataangrep ved å imitere våpenet