Menu

Jak lze mobilem číst bezkontaktní platební karty?

Napadla vás někdy otázka, zda lze pomocí mobilního telefonu s Androidem číst bezkontaktní platební karty? V tomto článku vám ukážeme, co všechno umí mobil z takové karty vyčíst. Stačí k tomu aplikace Credit Card Reader NFC (EMV), kterou jsme pro účely testování zvolili z prostého důvodu: nevyžaduje oprávnění pro připojení k Internetu, takže nehrozí, že by získaná data někam odeslala. Navíc je open source – její zdrojové kódy jsou k dispozici na Githubu, kde si je může každý stáhnout a zkontrolovat, zda aplikace nedělá ještě něco jiného, než deklaruje.

Pokud budete experimentovat s podobnými aplikacemi, vždy dávejte velký pozor na to, jaká oprávnění požadují! Ačkoli přes NFC nelze načíst všechny údaje, které jsou nezbytné například k nakupování po Internetu, je na místě velká opatrnost!

Co dokáže telefon vyčíst z bezkontaktní platební karty?

Co dokáže telefon vyčíst z bezkontaktní platební karty?

Co aplikace Credit Card Reader NFC (EMV) slibuje?

V Obchodě Play se dočtete, že aplikace umí číst veřejně dostupná data z platebních karet s NFC čipem, které jsou v souladu s normou EMV. Sám autor vydává své dílko za analytický nástroj a upozorňuje, že u některých nových karet nejsou v zájmu ochrany osobních údajů k dispozici informace o emitentovi a historie transakcí. Aplikace slouží pouze k načtení dat – není možné takto získané informace použít k platbě ani jakkoli upravovat.

Co dokáže telefon vyčíst z bezkontaktní platební karty?

Po instalaci stačí na telefonu aktivovat NFC (pokud není zapnuté, aplikace vás upozorní) a spustit aplikaci Credit Card Reader NFC. Platební kartu pak přiložte k zadní straně telefonu co nejblíže k anténě NFC (pokud nevíte, kde NFC je, pokuste se kartou přejíždět po zadní straně zařízení). Jakmile se ozve zvuk, typický pro spojení s NFC zařízením, načte aplikace kartu a zobrazí zjištěná data.

Na kartě Card Detail je to v první řadě ve formě obrázku číslo karty, měsíc a rok platnosti a vydavatel. Níže pak najdete Card AID, identifikující nejen vydavatele, ale i typ karty (kreditní/debetní). Následují informace o aplikaci karty a jejím typu, dozvíte se tu také, kolikrát můžete zadat chybně PIN, než bude karta zablokována. Níže jsou pak další údaje, týkající se bezkontaktní platební karty.

Zajímavá je sekce Transactions, kde jsou (zjevně jen určité) transakce. V našem případě se zde ukazovaly transakce provedené na samoobslužné čerpací stanici, konkrétně blokované částky. Žádné jiné operace, přestože byly provedeny bezkontaktně, zde k vidění nebyly. Na jiné platební kartě byla historie transakcí očividně bohatší, přesto ani v tomto případě zde nebyly všechny provedené operace.

V poslední sekci Log jsou pro laika nesrozumitelné záznamy, které lze rozluštit až po zakoupení placené verze respektive obdarování autora přes nákup v aplikaci za cenu od 80 Kč. Pak byste z těchto záznamů měli vyčíst údaje o transakcích, jako jsou datum, typ, měna, kód terminálu a další údaje.

Resumé

Jak je vidět, načíst data z bezkontaktní platební karty není žádný problém. Díky použité technologii se mobilní telefon s kartou bez problémů domluví. Na jedné straně je tato aplikace užitečná k tomu, že se majitel karty může podívat na to, jaké informace poskytuje například obchodníkovi. Další užitečnou funkcí může být otestování peněženky – pokud nechcete, aby vaši kartu tímto způsobem načetl někdo nepovolaný například z kapsy, tašky či kabelky, zkuste, zda ji zvládnete načíst mobilem. Svým způsobem je to ale i ukázka, jak dnešní karty fungují a nakolik použitá technologie splňuje bezpečnostní standardy.

Aplikace Credit Card Reader NFC (EMV) zaznamenala během tří let v Obchodě Play přes milion stažení a má průměrnou známku 4,1. Necelé 3 MB velký soubor můžete použít na zařízeních s Androidem 4.0.3 a novějším.

Zkoušeli jste někdy mobilem číst bezkontaktní platební karty?

Komentáře

kluzo

25.7.2017 8:29

Z toho jde až strach, kde všude člověk platí, tam vás můžou potencionálně zpětně okrást. Vzpomínám, jak jsem platil na benzince v Rumunsku kartou a musel jsem ji dát z ruky. Tehdy (cca 15 let zpět) by si ji musel oskenovat. Dnes mu stačí jen zadní trojčíslo a může dělat vesele třeba nákupy na netu z vaší karty…

pospa58

25.7.2017 9:40

To: kluzo, Karel Kilián
A Vy si neumíte nastavit nulový limit na platby na internetu?

Karelk

Karel Kiliánexternista 8

25.7.2017 9:46

To: pospa58
Samozřejmě umím :) Ale nakupuji tak často, že by to pro mne byla zdržovačka. Takže pro nákupy na Internetu mám nastavený limit, který jsem ochoten v případě zneužití akceptovat,

Uni

uni -2

25.7.2017 11:41

Karel Kilián: Eh…. zadara druhý účet a druhou kartu ve stejném bankovním domě, na primárním účtu (výplata) zablokovat net platby a na druhém účtu držet pár litrů zůstatek (v případě potřeby převod z primárního okamžitě) a s tím hurá do digitálního světa? Vždyť je to tak jednoduché…..:) Navíc ta net karta je trvale doma, takže max. hrozí únik platebních údajů na webu.

Karelk

Karel Kiliánexternista 8

25.7.2017 11:45

To: Uni
Ano, i to je možnost :) Ale s limitem 1000 Kč/den na internetové transakce se tím netrápím. Navíc mi při jakémkoli pohybu vč. plateb kartou chodí SMS.

Uni

uni -2

25.7.2017 11:50

Karel Kilián: Ano, i to je možnost:) Přesto jsem tak nějak klidnější, že jsem nedal do digitálního svět informace k mému primárnímu účtu:)

Милан4еха

25.7.2017 12:58

Taky jedu system “dvou karet” + ePay a PayPal. Kort tady v Bulharsku musis byt neustale ve strehu!

Karelk

Karel Kiliánexternista 8

25.7.2017 14:07

To: uni a Милан4еха
Dávám Vám za pravdu, že dvě karty jsou z hlediska bezpečnosti rozhodně lepším nápadem.

Zerthe

Zerthe -1

25.7.2017 14:18

Jestli se bojíte, že by si někdo mohl zapamatovat číslo karty vč. trojmístného kódu na druhé straně, není nic jednoduššího než zadat limit pro platby na internetu 0,- Kč a ten dočasně měnit jen při nutnosti něco na internetu zaplatit. Určitě to není zas tak často, aby to mohlo někoho otravovat. Sama to tak mám a nemůžu si stěžovat :-)

Uni

uni -2

25.7.2017 14:29

Zerthe: Steam, GoG, iTunes, Play, eshopy, eBay, DX…. jo, je to často a ano, otravovalo by to:)

Marek Štafl

25.7.2017 16:01

Na všech plastových kartách, se kterými platím v obchodech nebo vybírám z bankomatu mám internetové platby zakázané. Na platby na internetu mám virtuální kartu, což je jenom kus papíru s čísly, který mám doma a nikdo kromě mě ho nikdy neviděl. Mám to tak od té doby, kdy si z mého účtu kdosi koupil za 5 tisíc chipy v nějakém online kasinu někde v Brazílii :) (banka mi peníze po reklamaci vrátila).

pospa58

25.7.2017 17:32

To: Karel Kilián
Hergot, to jsem netušil, že externisti vydělávají takový peníz, že jim tisícovka z účtu nedělá problém. Vydělávám velice slušný peníz a na netu nakupuji dost a často, ale přesto obětuji ze svého času tolik, abych umožnil platbu z netu a poté opět snížil limit na nulu.

Viktor_pika

Viktor Špička 1

25.7.2017 19:47

Jako jízdenka po Brně je to maximálně pohodlné. Nicméně na bezpečí to dvakrát nepřidá, když vidíte jak revizor obyčejným Samsungem skenuje vaši platební kartu….

V6ak

v6ak 1

25.7.2017 20:13

S tím oprávněním je to složitější. Možná aplikace dnes nemá přístup k Internetu, ale:

1. Google Play to stejně standardně neukáže, člověk se po tom musí pídit. Důvodem bude asi bod 3.
2. I pokud to zjistím, aktualizace může toto oprávnění přidat. a vzhledem k tomu, že Google Play toto oprávnění neukazuje, asi to bude schopen provést bez ptaní, klidně v rámci automatických aktualizací.
3. Aplikace má stejně jiné možnosti, jak exfiltrovat data. Jeden z nejjednodušších způsobů je nechat pod nějakou záminkou otevřít stránku v prohlížeči, a dát nějaká data do adresy. To jde celkem dobře skrýt, server data uloží a přesměruje na adresu, která nebude vypadat podezřele.

Na šalinkartu mám separátní kartu. V kartě na placení mám malou dírku, díky které nefunguje anténa.

K 1000CZK: To je o vyvážení rizik a nákladů na jejich řešení. Pokud předpokládám, že k takovéto ztrátě 1000 CZK dojde jednou za deset let, tak to pohodlí vychází na 8.33 CZK měsíčně. Jde o to, jak vnímám riziko, kolik mi to ušetří času (který má taky svoji cenu) a že nárazová ztráta 1000 CZK mě sice naštve, ale rozhodně nepoloží.

Karelk

Karel Kiliánexternista 8

25.7.2017 20:20

To: pospa58
Ono to bude tím, že nejsem jen externista zde :) To by mě asi tisícovka zajímala. Ale působím i jinde a při mé struktuře příjmů je to riziko, které jsem ochoten akceptovat za mou pohodlnost. Moc pěkně to popsal v6ak v závěru svého příspěvku.

To: v6ak
Nad tím, že připojení k Internetu aplikace nedeklarují (tedy ne tak, aby bylo hned vidět), ba ani nepožadují, protože je to na Androidu tak nějak “samozřejmé právo” jsem také přemýšlel. Vaše poznámka je, jako ostatně asi vždy, velmi věcná a přínosná. Děkuji za ni.

Jáchym Kvasnička

25.7.2017 22:07

Neexistuje nějaká aplikace, která zjistí číslo účtu, který je s kartou svázaný? Jen to číslo účtu. Hodně by to zjednodušilo přeposílání peněz např. mezi přáteli.

Karelk

Karel Kiliánexternista 8

25.7.2017 22:22

To: Jáchym Kvasnička
Osobně si myslím, že pokud něco takového je, tak určitě ne veřejně dostupné.

Abkraka_a

AlešA 4

25.7.2017 23:09

Zkoušel jsem na zrušené platbě. Oskanovat funkční se bojím:D aplikace mají internetový přístup plno obchodumbstaci jen číslo karty a cvv bez jména a platnosti..

imaster

26.7.2017 7:43

Přesně na tyto případy jsem si pořídil COOL kartu. Nabiji si ji na určitou částku a o víc mě obchodník neobere.

Karl

26.7.2017 7:55

Stejně mi přijde nejvíc “sexy” varianta mít emulovanou platební kartu v telefonu a pomocí NFC platit. Vím že to u nás umí některé banky, ale zrovna k nim jít nechci. Přece to nemůže být tak těžké udělat.
Kolikrát někde jsem a nemám sebou peněženku nebo peníze, ale telefon mám vždy.

Alfa Omega

26.7.2017 10:33

to: Zerthe
Proč nastavovat nulový limit platební kartou na internetu a takhle se omezovat, když si můžete CVV/CVC kód z karty seškrábat, pokud se bojíte, že vám kartu někdo zneužije. Samozřejmě to nese větší nároky na uživatelskou paměť k zapamatování tří čísel.

Uni

uni -2

26.7.2017 10:52

Karl: Telefon+cover+NFC platební karta/nálepka. Problem solved, už dva roky:)

V6ak

v6ak 1

26.7.2017 11:46

Seškrábat CVV sice může pomoci, ale CVV nemusí být při platbě vyžadován. AFAIK ale pak banka bude vstřícnější k reklamaci, takže to smysl má, jen od toho nečekejme víc než to nabízí.

cardi

26.7.2017 14:01

pospa58: tak tak jsou to blbci co tu breci :D

Karl

26.7.2017 19:36

uni: nálepka mě napadla, ale je tak ošklivá ☺️
Nevím jestli by se vešla pod kryt, ale tam už mám kovovou destičku pro magnetický držák do auta a ten magnet by té nálepce asi nedělal dobře.

V6ak

v6ak 1

27.7.2017 11:16

Myslím, že čipové kartě bude magnet celkem jedno. Mohl by vadit u magnetického proužku.

V6ak

v6ak 1

28.7.2017 17:25

Jinak číslo karty a expiraci umí i přímo MasterPass od MasterCard – při přidávání karty. Nezobrazí sice historii, ale minimálně pokud máte kartu od MasterCard, asi této firmě důvěřujete už dostatečně a scan touto aplikací nemusí představovat dodatečné riziko (pokud tedy mám v pořádku systém).

RSS (komentáře k článku)