Oi Habr.
Recentemente, muitas vezes me deparo com um mal-entendido dos usuários russos sobre pagamentos sem contato em aparelhos eletrônicos baratos e o papel do chip NFC nessa funcionalidade.
Todos os tipos de recursos de notícias desempenham um papel importante nisso, cujos autores, sem pensar (ou especificamente, como vítimas de clickbait), se copiam e colam, pensando em fichas interessantes. A situação é agravada com os anúncios de novos dispositivos, como o Xiaomi Mi Band 4, e as notícias sobre a chegada iminente do sistema de pagamento Xiaomi Mi Pay na Rússia, em cooperação com a MasterCard.
Com este post, gostaria de dissipar o mal-entendido que se desenvolveu no Runet sobre este tópico.
No momento, o pagamento sem contato no checkout, usando NFC, pode apenas alguns tipos de dispositivos:
- Apple Watch com Apple Pay;
- Relógio inteligente baseado no sistema operacional do Google (Android Wear, Wear OS) com suporte para o Google Pay;
- Relógio inteligente da Samsung no Tizen OS com Samsung Pay;
- Relógio inteligente da Garmin com o sistema Garmin Pay; (Obrigado 117 e Kobalt_x , pela dica nos comentários)
- Fitbit Pay (não funciona na Rússia) e, possivelmente, mais algumas opções não populares.
Em geral, não existem muitos desses dispositivos no mercado e, o mais importante, o preço deles será uma desvantagem para muitos na escolha, além de baixa autonomia.
Há alguns anos, modelos com chip NFC começaram a aparecer no mercado de várias pulseiras fitness e relógios semi-inteligentes. Foi aqui que começou ... Jornalistas confundem as pessoas com a possibilidade de pagamento sem contato usando o Alipay, sem entender como ele funciona, e prometem a chegada rápida de pagamentos móveis em cada pulso. Mas ainda não há paróquia. Os usuários querem acreditar que, e muito em breve, seu Mi Band 3 barato, comprado com prudência na versão com NFC, substituirá sua carteira. Mas infelizmente.
A grande maioria desses aparelhos é fabricada na China, para o mercado doméstico. Muitos com a subsequente entrada no mercado global. E quanto ao pagamento sem contato no mercado interno da China? Duas tecnologias devem ser distinguidas aqui:
1. Pagamento por QR ou código de barras. Essa implementação dos chineses é usada em todos os lugares. A essência é a seguinte. Quase todo usuário tem um smartphone com eles. Com uma probabilidade de 99,9%, o smartphone possui o WeChat “mais do que apenas um mensageiro”, com sua carteira eletrônica ou o aplicativo Alipay é quase um banco eletrônico do grupo Alibaba. Existem duas maneiras de pagar na finalização da compra usando esses aplicativos no seu smartphone. Considere-os.
1.1 O usuário digitaliza o código QR do vendedor usando a câmera do smartphone. Insere a quantia necessária ou já está criptografada no código QR do vendedor. Confirma ainda mais a transação (senha ou biometria). O dinheiro é debitado imediatamente da carteira do comprador em favor do vendedor. Este método não pode ser usado na pulseira, devido à falta de uma câmera.
1.2 O usuário mostra ao vendedor seu QR / código de barras gerado pelo aplicativo da carteira. O vendedor "pega" com o seu scanner de caixa registradora portátil. O valor também é debitado instantaneamente em favor do vendedor. O que um gadget pago precisa para isso? O que ele tem é uma exibição e alguns cérebros. Portanto, esse método de pagamento foi implementado pela Alipay. Um dispositivo vestível suportado está vinculado a um aplicativo Alipay. Uma conta segura separada é criada na carteira (com um limite de pagamento). Um gadget é atribuído e inserido nele um par estático de códigos (QR e código de barras). Em seguida, o pagamento é offline, sem a participação de um smartphone. As transações são transferidas para os servidores Alipay do caixa da loja. Na verdade, esse é o único método de pagamento de compras em uma loja na China através desses dispositivos.
2. A grande e poderosa NFC. Aqui, falaremos não apenas sobre pagamento, mas também sobre outros recursos das pulseiras com um chip NFC. Começamos, é claro, com pagamentos. O que vem primeiro aqui? Certo, segurança. As mesmas bandas não podem fornecer um nível de segurança sensato, para que o fabricante confie a elas a emulação de cartões bancários de seus usuários. Talvez o ponto seja a impossibilidade de autorização confiável do usuário. Talvez em uma glândula fraca. Afinal, não é apenas que o bracelete de fitness médio custa pelo menos cinco vezes mais barato que o gadget wearable mais orçamentário, capaz de pagamento integral por NFC. Essa é uma classe separada de dispositivos em que preço e autonomia vêm em primeiro lugar. Ainda não há compromisso.
Mas o cartão de transporte é outra questão. Eles geralmente não rolam kilobaxes e não estão vinculados ao banco. É como um troco de bolso. Se perdido - apenas esqueci e não tome banho. Em algumas cidades, existe a possibilidade de pagar por compras com esse cartão. Isso geralmente é limitado a pequenas cadeias de supermercados, como o 7-Eleven ou o FamilyMart. Apenas a oportunidade de comprar uma garrafa de água condicional ao longo do caminho, que também é a principal tarefa da troca de bolsos. Na verdade, os cartões de transporte são um dos principais objetivos do chip NFC em rastreadores semelhantes a mibend. A essência é a seguinte. O fabricante coopera com os transportadores públicos (metrô, ônibus urbanos). Em um aplicativo proprietário, na seção de funções NFC, o usuário compra um cartão de transporte para sua pulseira. Virtual, é claro, mas pelo custo real - cerca de 20 yuan (~ 200 rublos), um depósito não reembolsável e o restante no saldo (já existe o valor a seu critério). O cartão é gravado em uma pulseira e depois usado de forma totalmente independente para pagar a viagem. É muito conveniente, já que não são necessários gestos extras para acioná-lo, basta levar a mão ao leitor e o pagamento é feito. O mapa é reabastecido, da maneira mais conveniente, no aplicativo de pulseira, usando o mesmo WeChat ou Alipay, para você escolher.
Outro recurso que acompanha as pulseiras com um chip NFC é a emulação de cartões de acesso. A função é útil e conveniente, mas, na mesma China, nas realidades modernas é bastante tarde. Eu vou explicar o porquê. Em primeiro lugar, a NFC opera a uma frequência de 13,56 MHz. Por conseguinte, apenas cartões com uma determinada frequência são suportados. Em segundo lugar, o ponto está novamente em segurança. A pulseira só pode ler e emular corretamente os cartões sem criptografia e, como se viu (graças ao fórum do w3bsit3-dns.com), o comprimento do UID deve ser de 4 bytes. Caso contrário, mesmo se você copiar o cartão, o leitor na porta de entrada não abrirá você. Os fabricantes agem de maneira diferente aqui. Por exemplo, o aplicativo MiFit simplesmente não permite copiar um cartão não suportado. Mas o aplicativo nativo da pulseira Hey + sem uma pontada de consciência copia tudo o que pode, mas não garante a operação correta. Como a prática demonstrou, um interfone ou uma inspeção tão insegura na China ainda precisa ser pesquisada. Eu não encontrei.
Na Rússia, as coisas são melhores em termos de possível uso. Por exemplo, usuários do mesmo fórum confirmam a operação normal com o cartão de passe Moskvenok e com alguns interfones.
Há também outra oportunidade interessante - criar um cartão "limpo", ir para a empresa de gerenciamento e registrá-lo em seu sistema. Infelizmente, não pude testar por vários motivos. Um deles não me deixou uma única chance - o mesmo MiFit notório da Xiaomi por criar esse cartão pede confirmação de identidade usando um ID chinês, o que eu não posso ter. E, em geral, a segurança chinesa está em alerta. Se com a pulseira Hey + essas funções estiverem abertas para uso, o MiFit simplesmente se recusa a ativar as funções NFC para contas registradas fora da China continental.
Talvez isso termine.
Tudo acima é baseado na experiência pessoal e em conclusões lógicas dela.
E as conclusões são as seguintes: você não deve esperar o aparecimento de sistemas de pagamento na classe de rastreadores de fitness baratos, mesmo com um chip NFC integrado. Mesmo à luz das notícias sobre o iminente lançamento do Mi Pay na Rússia. Se o mesmo Mi Pay aparecer no futuro em uma das Mi Band ainda não apresentadas, será lançada no mercado doméstico chinês. E ainda não se fala sobre isso.
Espero que este artigo seja útil para a comunidade e para o Runet em geral. Críticas saudáveis são bem-vindas.