Güvenli Öğe: akıllı telefonlarda temassız ödemeleri güvenceye alma

Modern akıllı telefonlar yıllardır telefon, kamera, müzik çalar, toplu taşıma kartı ve hatta cüzdan işlevlerini başarıyla bir araya getirmiştir. Doğal olarak bu da sakladıkları verinin güvenliğini merak etmenize neden olur. Hadi akıllı telefonların, kullanıcıların en değerli bilgilerini nasıl koruduğunu ve temel güvenlik mekanizması olan Güvenli Öğe isimli küçük bir yonganın nasıl çalıştığına bakalım.

Modern akıllı telefonlar yıllardır telefon, kamera, müzik çalar, toplu taşıma kartı ve hatta cüzdan işlevlerini başarıyla bir araya getirmiştir. Doğal olarak bu da sakladıkları verinin güvenliğini merak etmenize neden olur. Hadi akıllı telefonların, kullanıcıların en değerli bilgilerini nasıl koruduğunu ve temel güvenlik mekanizması olan Güvenli Öğe isimli küçük bir yonganın nasıl çalıştığına bakalım.

Güvenli Öğe ile Tanışın

Güvenli ödeme bilgilerini saklayacak özel bir yonga, temassız kredi kartlarından akıllı telefonlara taşındı. Günümüzde en güvenilir standart olan EMV (Europay, MasterCard, Visa) standardını duymuş olabilirsiniz. Bununla birlikte ödeme bilgileriniz, kırmanın neredeyse imkansız olduğu korumalı bir mikroçip üzerinde saklanır. Bu yüzden EMV standardını kullanan kartlara basitçe “yongalı kart” denir.

Telefonunuzdaki Güvenli Öğe, aslında kredi kartlarında kullanılanla aynı yongadır. Ayrı bir işletim sistemi vardır (evet, kredi kartlarında programlarını çalıştıracak kendi işletim sistemleri bulunuyor). Tüm bilgileriniz bu yonga üzerinde saklanır, telefon veya tablete yüklenen uygulamalar şöyle dursun, bu cihazların işletim sistemi tarafından bile okunamaz veya kopyalanamaz. Güvenli Öğe, seçkin sanal cüzdanlar gibi yalnızca özel ve güvenilir uygulamalarla çalışır.

Yonga, ödeme terminalleriyle doğrudan iletişime geçer, böylece akıllı telefon kötü amaçlı yazılımdan etkilenmiş olsa bile korsanlar bu bilgiyi tutamaz. Çünkü veriler, ana işletim sistemine aktarılmaz, Güvenli Öğe’nin özel sisteminde hiçbir yere gitmeden kalır.

Telefon cüzdanı: Nasıl başladı?

Telefonun kredi kartıyla birleştirilmesi fikri aslında düşündüğünüzden daha da eskilere uzanıyor. Güvenli Öğe yüklü ilk modeller özellikli telefonlardı, yine de hiç popüler olmadılar. Hatta bir şirket bir araçla manyetik şerit taklidi yapma yöntemi bile icat etti. Ama telefonlar ancak yakın zamanda, 2014’te, Apple Pay’in lansmanından sonra plastik kartlar için gerçek bir rakibe dönüştü.

Apple Pay’in başarısı rakiplerinin ilgisini çekti ve 2015’te Samsung benzeri bir hizmet sunmaya başladı. İki sistem de Güvenli Öğe gerektiriyor (bu yüzden eski iPhone’lar ve ucuz Samsung modelleri temassız ödemeyi desteklemiyor).

Hatta, bu Kore şirketi cihazlarının işlevselliğini geliştirme amacıyla manyetik şerit taklidi teknolojisini geliştiren şirketi, LoopPay’i, satın aldı. Birkaç ay sonra Google, Android Pay’i tanıttı (2018 başlarında adı Google Pay olarak değiştirildi).

Güvenli Öğe: yerleşik, harici veya bulut tabanlı

Aslında Güvenli Öğe’nin akıllı telefona yerleştirilmesi gerekmiyor. Çıkarılabilir bir özelliğe sahip: örneğin, hafıza kartı biçiminde. Bazı mobil operatörler kredi kartı ve toplu taşıma kartı bilgilerinizi saklayabilen SIM kartlar bile üretiyor. Yine de bu seçenekler hiç popüler olmadı.

Apple veya Samsung’un aksine Google; temel olarak bu cihazları değil, bu cihazlarda yer alacak yazılımları üretiyor. Bu yüzden de ödeme sistemi başlangıçta çok fazla zorlukla karşılaştı. Öncelikle, çoğu Android telefonda Güvenli Öğe yongası bulunmuyordu. Şirket, bağımsız üreticileri güvenli yonga yüklemeye veya kullanıcıları yeni bir kart almaya zorlayamazdı. Güvenli Öğe olmadan temassız ödeme de gerçekleştiremezdi.

Önce, Google bu durumdan kurtulmak için bir yol bulmaya çalışarak cüzdan uygulamasını Güvenli Öğe ile SIM kartlara yüklemeyi denedi. Ancak Amerika’nın önde gelen cep telefonu operatörleri, Verizon, AT&T, ve T-Mobile, şirketle iş birliği yapmayı reddederek bunun yerine kendi uygulamalarını öne sürdüler, uygulama başta Isis Wallet olarak adlandırılmıştı ama sonra politik kaygılarla Softcard olarak değiştirildi. Dikkatleri çeken şey ise; bütün bunların sonucunun, Google’ın patentler için sistemi satın alması oldu.

Yine de bunun öncesinde şirket, soruna çok daha zarif bir çözümle geldi. Android telefonlarda fiziksel güvenlik yongası yüklü olmamasına rağmen bulut ortamında sanal güvenlik yongaları oluşturuldu. Bu teknolojiye Host Card Emulation (Ana Kart Emülasyonu, HCE) adı verildi.

Bu bulut tabanlı sistem, yerleşik Güvenli Öğe yongalı cüzdanlarla önemli bir açıdan farklılık gösteriyordu. HCE, ödeme terminalinin cihaz işletim sistemi ile iletişim kurmasını gerektiriyor. Bu işletim sistemi, ödeme bilgilerinin saklandığı bulut tabanlı bir Güvenli Öğesi’nin yanı sıra güvenilir bir uygulama ile de iletişim kurmak durumunda.

Uzmanlar HCE kullanmanın teknik olarak gerçek bir Güvenli Öğe kullanmak kadar güvenli olmadığını belirtiyor: Veriler internetten ne kadar çok geçerse, müdahale etmesi de o kadar kolay olacaktır. Yine de HCE, bu güvenlik açığını oluşturan ek koruma mekanizmalarını da içeriyor: örneğin, kalıcı ödeme anahtarlarını değil, yalnızca tek kullanımlık geçici anahtarları kullanıyor.

Devamı gelecek

Artık ödeme verilerini telefonunuzda saklamak için kullanılan “kara kutu” nedir, biliyorsunuz. Sonraki makalede Android ve iOS cihazların Güvenli Öğe’ye dayalı temassız ödeme sistemlerini nasıl kullandığına bakacağız. Ayrıca birinin Apple Pay, Google Pay veya Samsung Pay’i karıştırmadan bir banka kartını akıllı telefonunda neden saklayamayacağından da bahsedeceğiz.

Veri hırsızı Chrome uzantısı

Uygulamaları her zaman yalnızca resmi kaynaklardan yüklemenizi öneririz. Ancak bu, bu tür sitelerin kötü amaçlı yazılım içermediği anlamına gelmez; yalnızca başka yerlerde olduğundan daha az miktarda kötü amaçlı yazılım bulunur.

İpuçları