Aplikace rozhodně nefunguje na jakémkoli Androidu 4.4+ s NFC. Na takovém Nexusu 5X a Androidem 8 Oreo stačí mít jen odemknutý bootloader (ani nemusí být upravený firmware telefonu) a aplikace se odmítne spustit. Je to dost absurdní situace, představte si, že by se takhle chovaly třeba aplikace pro Windows – „v systému je administrátorský účet, aplikace se proto nespustí.“
Když jsem zkoušel přidat kartu mBank, bylo potřeba odsouhlasit podmínky, na jejichž přečtení je jen 25 minut a které v závěrečné části obsahují:
8. Poplatky za používání Aplikace 8.1.1. Za používání Aplikace si Banka účtuje poplatky v souladu s aktuálně platným Sazebníkem. 8.1.2. Za transakce vykonané Tokenem si Banka účtuje poplatky v souladu s aktuálně platným Sazebníkem. 8.1.3. Třetí strany jiné než Banka mohou účtovat poplatky za transakce uskutečněné pomocí Aplikace.
Sazebník přitom o Android Pay nic nepíše.
OnePlus 5 (oficialni OxygenOS, jenom odemceny bootloader a rootnuty)
Službu Android Pay na tomto zařízení nelze použít.
Důvodem může být to, že zařízení je odemčeno, má odemknutý bootloader nebo používá vlastní paměť ROM. Google tak nemůže zaručit, že toto zařízení splňuje bezpečnostní standardy pro služby Android Pay.
No nic pro me. Chci mit moznost dat si do telefonu ROM jakou chci ja a delat si v telefonu to co chci ja. Android Pay ozelim a budu platit "po staru" bezkontaktni kartou.
Tady se do sebe hodně nešťastně míchá několik spolu nesouvisejících věcí.
V Androidu, stejně jako v každém jiném OS, chyby byly, jsou a budou. To se nezmění.
Důležitý je přístup uživatele. Telefon s několika málo aplikacemi je daleko méně zranitelnější než telefon do kterého si někdo narval stovky pochybných aplikací. Samozřejmě bez kontroly toho jaká práva daná aplikace vyžaduje. Tam je pak pravděpodobnost nějakého útoku daleko vyšší.
Pokud mám instalováno něco co má přístup k SMS, tak musím považovat všechny SMS za veřejné protože je může kdykoliv kamkoliv odeslat. Samozřejmě včetně autorizačních sms bankovních transakcí.
Je to stejné jako u klasických počítačů.
Autorizace SMS je obvykle použivána v případě dvoufaktorové autorizace a je založena principu DVOU NEZÁVISLÝCH kanálů, tj. pokud bude jeden z nich kompromitovaný, tak o tom tím druhým kanálem dozvím.
Tady je kriticky důležité dodržet nezávilost těch kanálů.
Pokud jsem přihlášený na PC a přijde mi sms, tak obojí jde zcela nezávislými kanály a útočník nemá šanci kompromitovat oba kanály zároveň.
Jiná situace samozžejmě je, pokud se přihlásím na mobilu a na ten samý mobil mi přijde ta autorizační sms nebo pokud se všechny sms přeposílají jako e-maily na počítač. Tam je porušeno pravidlo nezávilosti, protože pro získání obou částí autorizace mně stačí přístup na jediné zařízení.
Autorizace pouze certifikátem je opravdu méně bezpečná než dvoufaktorová autorizace přes SMS. Pro útok mně stačí ukrást ten certifikát. Pro dvoufaktor bych musel ukrást přihlašovací údaje A ZÁROVEŇ získat tu autorizační sms.
Ten sazebník by měli upravit, protože takto je to nejisté.
Já to chápu tak, že "Aplikace" zastupuje kartu. Takže cokoli se provádí v aplikaci, tak platí stejný sazebník jako u dané karty.
Je to asi zmínka o tom, aby si někdo nemyslel, že placení přes aplikaci je zdarma a podobně. Platí stejné ceny jako u karty.
To jest 8.1.1 - poplatek za vedení karty/Aplikace 29 Kč/měsíc, případně 0 Kč pokud pokud jsou splněny podmínky.
Bod 8.1.2 - poplatky za transakci platné pro danou kartu. Tam se vlastně stejně nic neplatí.
Bod 8.1.3 - toto se týká zřejmě poplatků u Visa/MastarCard u zahraničních transakcí v cizí měně.
Mně se Android Pay moc líbí. Mám mobil zabezpečený přes otisk prstu. V nastavení mobilu jsem si v horní liště odstranil (dal úplně dole) zapínání/vypínání NFC. Teď bez otisku prstu nelze zapnout vypnout NFC (pokud chci zapnout NFC, tak otisk prstu/stažení horní lišty/ikonka tužky/ikonka NFC). Takže i platby do 500Kč jsem schopen kontrolovat tím, že si můžu vypnout NFC, to s kartou ani nálepkou nelze. Navíc na dálku lze standardně smazat/resetovat mobil a odstranit tak kartu z mobilu při případné ztrátě mobilu, to s kartou také nelze.
Po dotyku mobilu na terminál jsem okamžitě informován o platbě na displeji mobilu to karta také neudělá. Nemusím tahat kartu, mobil mám vždy u sebe. Jediný problém je, kdyby se mobil vybil.
Při platbě velkých částek se nemusí zadávat PIN jako u karty, stačí mít pouze zapnuté NFC a navíc odemknutý mobil otiskem prstu.
Prostě pro mě pozitivní věc a nikdo nikoho nenutí Android Pay používat, pokud má pochyby. Moje pozitivní zkušenost je s mBank. Dále aplikace mBank.cz počítá s Android Pay a kompletní správou účtu a zdarma online upozorněním na zvolené transakce a je možnost použít otisk prstu.
Za mě za " 1* "
Služba může zůstat stále "zadarmo" stejně jako ostatní služby od Googlu. Bude to jenom další služba za kterou zákazník tvrdě platí svými daty. Pokud by Google neměl v úmyslu z toho rejžovat, tak se tím vůbec nezabývá.
Takže za mně jednoznačně: děkuji nechci.
Určitě se objeví spousta řečí a odborníků co budou tvrdit jak je všechno anonymní, nikdo nikoho sledovat nebude apod.
Důležité je necpat všechny informace do jedné firmy. Možná je to v dnešní době totálně "out" ale je to jediný rozumný způsob.
Obchodník ví co si kupuju u něj ale nezná moje přijmy ani nákupy jinde.
Banka zná moje příjmy a výdaje (kromě plateb v hotovosti) ale zná pouze obchodníka a placenou částku. Nezná obsah nákupu. Platba kartou v obchodě typu "Tesco" nebo "Albert" může být za cokoliv.
Telefonní operátor ví seznam hovorů a přibližnou historii polohy na základě BTS stanic ale nezná moje přijny ani výdaje (kromě platby za telefon).
Google může znát všechno ze všech oblastí a ještě to mít propojené s další uživaleli přes telefonní čísla, e-mail adresy apod. A tohle všechno prodává tomu kdo nasype dostatečný balík dolarů.
Pripodotek:
1) realne-matematicka bezpecnost bankovnich aplikaci vas nemusi zajimat, nebot potencielni skody jdou prave za bankou*. Pokud bude pro banku nejlevnejsi zpusob skladovani vasich penez v kosi na namesti, tak presne tam i budou. Pricemz potencielni skody jsou zapocitany pochopitelne to onech nakladu.
2) ona nesifrovana SMS je bezpecnejsi nez email. Pochopitelne za predpokladu, ze ten bankovni web nemate otevreny v tom telefonu na ktery vam ona SMS dorazi. Pokud to ovsem delate takto, tak si ten nezavisly kanal, o ktery jde predevsim, bourate sam. A ano, banky by v tomto ohledu mely sve klienty informovat.
*Ano, vim jak je to v CR, mluvim obecne.
Apple IOS na tom neni o moc lip http://www.cvedetails.com/product/15556/Apple-Iphone-Os.html?vendor_id=49
Přijde mi celkem nepochopitelné v době zvyšování útoků na mobilní zařízení chtít takto platit přes mobil. Bezpečnost ANDROIDU je mizerná, to chcete přijít o peníze? Navíc to není ani praktické, napsat tři dlouhé číslice trvá delší dobu než vytáhnout peníze nebo kartu a normálně zaplatit, lidi neblbněte.
Nedelal bych si az takove iluze, to co si kupujete se da velice dobre s vysokou uspesnosti vyhodnotit statisticky. Potazmo muze dojit na vymenny obchod - banka poskytne prodejci "anonymizovana" data o jeho klientech (rekneme na tema ze jich 50% vydelava do 15k, 30% do 20k atd) a prodejce prozmenu bance "anonymizovana" data o tom, kdo co koupil.
Pak mohou jeste do holportu pribrat operatory a zjistit, kde jinde jeste kdo nakupuje, prihodit celkove mesicni vydaje a celkem bez problemu priradite ke konkretnim cislum konkretni osoby.
Brzy bude i Apple Pay na iPhonech. :) https://ibb.co/dCm2Lw
Airbank chce vlastní řešení. Podepište petici za Android Pay a Airbank a bojujte s námi proti tomuto nesmyslu. Díky!!
https://goo.gl/forms/He7XErOd9MOXJou63
Už cca 2 roky mám na zadní straně telefonu přilepenou platební nálepku (malá bezkontaktní platební karta) a platím mobilem bez androidu, bez gůglu, bez NFC, bez KB a dokonce i s vybitou baterií...
Možná by bylo dobré přestat se pokoušet drbat levou rukou za pravým uchem pod kolenem.
Já vím, proto jedině Windows 10 Mobile nebo BlackBerry.
Je úsměvné, když mne banka "poučovala" jak údajně strašně nebezpečná je podpisová aplikace s certifikátem, zatímco tyhle z hlediska bezpečnosti neopravitelné šunty (nelze je zabezpečit ani když o to stojíte) podporují bez keců.
Tohle už je naprostá rezignace bank na bezpečnost. Android jakožto nejhorší masový produkt softwarového průmyslu v historii nelze nijak zabezpečit, leda zařízení vypnout. Počet závažných chyb se neustále zvyšuje, většina zařízení nikdy neobdrží jedinou bezpečnostní aktualizaci za celou svou životnost. Některá už jsou napadena malwarem přímo z výroby, který nelze odstranit ani resetem do výchozího továrního nastavení.
Přitom banky tvrdí, že podpisová aplikace s certifikátem je údajně méně bezpečná, proto je (až na vyjímky jako Fio) ruší :-/
Stejně jako tvrdí, že autorizace transakce zcela nezabezpečenou SMS je údajně bezpečnější, než stejná informace zaslaná digitálně podepsaným emailem (proto ten kanál údajně nepodporují).