Apple Pay có an toàn khi thanh toán qua iPhone?

Ngày 9/9, Apple ra mắt thiết bị mới kèm theo hệ thống thanh toán dựa trên kết nối NFC, cảm biến ID và ứng dụng Passbook. Những điều cần biết về bảo mật của công nghệ mới từ Apple này là gì?

Bỏ qua những phản ứng tiêu cực từ người dùng, điều mà các chuyên gia bảo mật quan tâm hơn cả cuộc chiến về kích cỡ màn hình điện thoại chính là sự an toàn dữ liệu của thiết bị. Nói đúng hơn là các chuyên gia quan tâm đến hệ thống Apple Pay với sự tham gia từ các đối tác Visa, MasterCard và AmEx qua công nghệ thanh toán tầm ngắn dựa trên chip NFC, cảm biến  Touch ID và ứng dụng Passbook. Apple muốn biến iPhone thành thiết bị có tính năng tương tự như thẻ tín dụng và liệu điều đó có đảm bảo tiền không chui vào túi tội phạm mạng hay không?

Thực tế có khá nhiều công ty đã áp dụng phương thức thanh toán này như thẻ PayPass, PayWave; việc của người dùng là chỉ cần giữ thiết bị thanh toán có chip NFC ở gần máy đọc một lúc và sau đó xác nhận giao dịch. Nếu dùng thẻ tín dụng thì người dùng phải nhập mã PIN, còn đối với Apple Pay thì người dùng cần giữ ngón tay của mình bên trên nơi cảm ứng trong quá trình thực hiện thanh toán.

Apple Pay có vẻ an toàn nhưng việc lưu trữ tất cả thông tin tín dụng trên iPhone có thể có rủi ro không ngờ cho tài sản của người dùng. Để thực hiện việc thanh toán, đầu tiên người dùng cần quét thẻ tín dụng bằng iPhone của mình sao cho nó nhận tất cả đầy đủ thông tin như số thẻ, ngày hết hạn; và điều này cần dẫn đến ứng dụng Passbook.

Đây là phần thú vị nhất của Apple Pay. Thay vì sử dụng số thẻ tín dụng hoặc thẻ ghi nợ thực tế của mình trong thời gian thanh toán, một mã số tài khoản thiết bị duy nhất sẽ được sử dụng (tương tự như mã số từ thiết bị bảo mật của các ngân hàng cung cấp cho tài khoản online mỗi khi phát sinh giao dịch). Sau khi được tạo ra, loại thẻ được gán cho một thiết bị - nơi lưu trữ an toàn các thông tin thẻ đã mã hóa trong con chip chuyên dụng ở iPhone đời mới và Apple Watch. Vì vậy, người dùng sẽ thanh toán bằng mã số đặc biệt không xác định, không phải bằng thông tin thực của họ.

Hai lợi ích dễ thấy nhất của giao thức này bao gồm:

- Những cửa hàng hoặc tội phạm mạng (là những đối tượng có thể muốn ngăn chặn dữ liệu của người dùng) sẽ không thể biết gì về thông tin thẻ tín dụng, thẻ ghi nợ của người dùng. Trong tình huống xấu nhất, nếu có bị tấn công thì cái mà kẻ xấu nhận được chỉ là những số mã thông báo.

- Ngay cả khi bị xâm phạm thì những con số đó cũng không có giá trị gì cả. Bởi vì nó chỉ hoạt động khi truyền từ thiết bị mà con số này đã được tạo ra từ đó. Nếu điện thoại bị mất cắp thì đến lượt cảm biến Touch ID làm nhiệm vụ. Trong mọi trường hợp, đều có dịch vụ Find My iPhone mà bạn có thể dùng để khóa iPhone hoặc thậm chí tất cả các thông tin trên iPhone bị mất, bao gồm cả thông tin thẻ. Vì vậy, không cần phải khóa thẻ tín dụng hay tài khoản ngân hàng để bảo toàn tiền khỏi bị “cuỗm” mất.

Về lý thuyết là vậy, nhưng thực tế, hệ thống có an toàn? Dmitry Bestuzhev - chuyên gia từ Kaspersky Lab cho biết:

“Vấn đề là cảm biến Touch ID không phải lúc nào cũng hoạt động tốt. Đó là lý do tại sao Apple thêm một phương án nhập mã PIN. Ví dụ như khi ngón tay người dùng bị ướt thì Touch ID không hoạt động chính xác. Những phím tắt tương tự có thể bị tội phạm mạng lợi dụng trong quá trình thanh toán”. Hãy nhớ rằng khi dùng Apple Pay thanh toán thì không cần bất cứ sự tương tác nào thêm. Rất có thể thiết bị của người dùng sẽ bị sử dụng trái phép để hút cạn tài khoản ngân hàng của bạn.

Mối quan tâm khác là thông tin thẻ được lưu trữ. Hầu hết các loại dữ liệu được lưu trữ trên một chiếc iPhone có thể được đồng bộ với thiết bị iOS đáng tin cậy. Đó không chỉ là hình ảnh hoặc các tab trình duyệt mà còn là mật khẩu lưu trong ứng dụng gọi là Keychain. Vì vậy, nếu các thông tin thẻ tín dụng và thẻ ghi nợ được lưu trữ tương tự, cho phép các thiết bị đồng bộ với điện thoại thông minh khác, điều đó có lợi cho tài chính của người dùng.

Ngoài ra, kẻ tấn công có thể làm điều tương tự như người dùng là truy cập vào Passbook của họ và lấy thông tin về thẻ tín dụng, ngoại trừ Apple có thể khiến cho nó bất khả xâm phạm hay cực kì khó khăn.

Tất cả những vấn đề bảo mật này người dùng sẽ biết rõ hơn vào tháng mười tới (hoặc cũng có thể là không có gì cả). Đó là khi Apple Pay chính thức lưu hành ở hơn 200.000 cửa hàng Mỹ. Hãy tiếp tục theo dõi và cập nhật trong các bài viết sắp tới nếu bạn quan tâm.

Xuân Dung

(*) Vui lòng trích dẫn nguồn Kaspersky Care khi sao chép bài viết này.