annulla
Visualizzazione dei risultati per 
Cerca invece 
Intendevi dire: 

Contactless pay con smartphone

ciberkids

ciberkids

Apprendista

Contactless pay con smartphone

Ci sono molti smart phone con tecnoogia nfc in commercio e in possesso di molti utenti, perchè non poterla utilizzare per effettuare pagamenti contactless? alla stregua della Arancio pay contactless?

Samsung,apple e google arriveranno solo tra molti mesi in italia... sarebbe un ottimo modo per anticiparli e per voi a costo zero...

10 Commenti
djechelon

djechelon

Apprendista
Eh purtroppo non è a costo zero per la banca, caro @ciberkids. A quanto ne so, per ragioni sempre legate alla sicurezza, il servizio NFC payment può essere abbinato solo a una SIM contactless (solo TIM e PosteMobile le producono, e figurati se Poste firma un accordo con la concorrenza) o ad uno specifico modello di telefono, che deve essere certificato dal punto di vista dell'hardware e del software. Aggiungi (e a me va sempre di ribadirlo) che se hai fatto il root/jailbreak al dispositivo, aumentandone di fatto la sicurezza, ti precludi del tutto il contactless payment. In parole povere ING dovrebbe siglare accordi con Apple e Samsung, i maggiori produttori, per avere una tecnologia di pagamento NFC su ALCUNI dei loro smartphone, alle LORO condizioni e mica a condizioni PARITARIE. Io sono un sostenitore del pagamento via smartphone perchè a differenza della CARTA qualche geniaccio sviluppatore può introdurre una funzione per BLOCCARE/SBLOCCARE i pagamenti da sfioramenti accidentali nonchè visualizzare l'estratto dei pagamenti in TEMPO REALE sullo schermo. Wow questo sì che è futuro. Purtroppo non è oro tutto quello che luccica!
bellastoria

bellastoria

Apprendista

Sarò anche obsoleto, vetusto e retrogrado.. ma sta storia dei pagamenti contactless a me fa un po' paura... preferisco ancora digitare il pin, mentre per spese to go da 10 euro mi sta anche bene pagare contact less. ma sempre con al carta non con il cell. (parere personale). 

abbapino

abbapino

Apprendista

io introdurrei piuttosto la funzione di pagamento via telefono con lettore di impronte. Ormai tutti i produttori hanno diversi modelli con il lettore d impronte digitali

fadagio

fadagio

Apprendista

Io preferirei un token (chiavetta USB con certificato digitale) ed in caso di smarrimento e/o malfunzionamento il classico e collaudato pin.

ciberkids

ciberkids

Apprendista
Magari non a costo zero perchè è evidente che ci siano dei costi di sviluppo... Ma andiamo con ordine vorrei porre un istante l'attenzione su alcune tue affermazioni per capire se sono sviste oppure no.

1) A quanto ne so, per ragioni sempre legate alla sicurezza, il servizio NFC payment può essere abbinato solo a una SIM contactless (solo TIM e PosteMobile le producono, e figurati se Poste firma un accordo con la concorrenza)
 
Vorrei che mi citassi la fonte esatta di questa affermazione. Io ti scrivo la mia: 
cito:"Per abilitare lo smartphone ad effettuare pagamenti, infatti, occorre in primo luogo "virtualizzare" una carta di pagamento rilasciata da una banca o un istituto di carte di credito all'interno di un'app sullo smartphone, il digital wallet o portafoglio digitale. Per custodire in modo sicuro i dati della carta e impedire che questi vengano sottratti via software da eventuali malware o via hardware manomettendo il terminale, viene infatti utilizzato quello che è chiamato secure element, un'area di memoria cifrata della SIM in cui vengono memorizzate le chiavi univoche necessarie per effettuare le transazioni. È per questo motivo che per abilitare questi servizi occorrono delle SIM NFC specifiche. In sostanza le banche affidano la sicurezza alla SIM dell'operatore, che in cambio riceve una fetta della commissione applicata alla transazione (non a carico dell'utente finale)."
 
e continua con:
"Un'altra soluzione svincolata dagli operatori telefonici, relativamente più recente, è quella definita HCE (Host Card Emulation), che consiste in una totale emulazione via software e servizi cloud delle carte di pagamento. Questo secondo metodo di gestione della sicurezza ha avuto un grosso impulso con ilsupporto da parte di Google a cominciare da Android KitKat, ed è la tecnica utilizzata dal Google Wallet per i pagamenti NFC nei trial negli Stati Uniti.

MasterCard e VISA hanno annunciato circa un anno fa l'adozione dell'HCE e la realizzazione della relativa infrastruttura cloud e c'è da credere che sarà la soluzione prediletta di tutti gli operatori cosiddetti over-the-top (come PayPal per intenderci). In Italia, questo sistema debutterà con CartaSì che ha annunciato la prossima introduzione di MySi, digital wallet per Android kitKat che potrà essere utilizzato da tutti i possessori di una carta di credito CartaSì VISA."

 

tratto da qui, ti consiglio di leggerlo.

http://www.dday.it/redazione/14704/in-attesa-di-apple-pay-ecco-come-pagare-via-nfc-in-italia-con-and...
lettura inferessante.
 
 
2)  Aggiungi (e a me va sempre di ribadirlo) che se hai fatto il root/jailbreak al dispositivo, aumentandone di fatto la sicurezza, ti precludi del tutto il contactless payment.
 
Sei estremamente sicuro che il root/jailbreak, cito "aumenti di fatto la sicurezza"?
Ora, di fatto, il root del telefono ti da pieno accesso a tutte le "partizioni/aree di storage del telefono" solo per citare a livello macroscopico un possibile effetto. Questo permette a un possibile ladro di rubarti fisicamente il telefono, tu mi dirai: "ah ma io ho la password di blocco e magari anche il finger print". Perfetto. Il problema sta li... Riavviando un telefono "rootato/jailbreakato" è possibile accedere a tutte le aree di memoria a sistema operativo spento quindi è possibile COPIARE in TOTO la memoria del telefono e indagare succcessivamente. Un telefono non rootato non lo permette. Questo è solo un semplice esempio di cosa è possibile fare. Aggiungo ancora, avere i permessi di amministratore equivale ad avere accesso completo al telefono. Questo privilegio non è solo nostro, ma anche delle applicazioni che installiamo e che, se pericolose o infette, potrebbero avere il via libera per poter ottenere tutte le informazioni che vogliono. Le applicazione per gestire i permessi come SuperSU mostrano un'avvertimento ogni volta che un'applicazione tenta di ottenere i permessi di amministratore ma la prudenza è sempre la migliore consigliera e controllare le applicazioni installate o che stiamo per installare è sempre buona norma.
 
Non sto a discutere di quanto sia semplice o no jailbreakare/rootare un cellulare rubato ecc ecc... Volevo solo porre il punto della questione sul tuo "DI FATTO AUMENTI LA SICUREZZA".
 
La questione vale tanto per Android che per IOS.
 
 
3) In parole povere ING dovrebbe siglare accordi con Apple e Samsung, i maggiori produttori, per avere una tecnologia di pagamento NFC su ALCUNI dei loro smartphone, alle LORO condizioni e mica a condizioni PARITARIE.
 
ti rimando all'articolo che ti ho linkato precedentemente che secondo me ti chiarisce molto bene le idee: leggi su wiki cosa è HCE.
 
5) Io sono un sostenitore del pagamento via smartphone perchè a differenza della CARTA qualche geniaccio sviluppatore può introdurre una funzione per BLOCCARE/SBLOCCARE i pagamenti da sfioramenti accidentali nonchè visualizzare l'estratto dei pagamenti in TEMPO REALE sullo schermo.
 
Questo è solo uno dei possibili utilizzi... cmq ti rimando al punto successivo
 
 
4) Wow questo sì che è futuro. Purtroppo non è oro tutto quello che luccica!
 
mi spiace veramente vederti così disilluso, la tecnologia è una brutta bestia... se la vogliamo usare bisogna trovare il giusto compromesso... purtroppo SEMPRE le grandi aziende si appoggiano ad altre aziende per effettuare i sviluppi (famose aziende di "consulting", Accenture, Reply ecc) e queste aziende SPESSO/SEMPRE mettono davanti il fatturato a fare un lavoro fatto bene. Per questo motivo molte aziende propongono i servizi e poi BUM fanno pena, ma non è la tecnologia è chi l'ha implementata che non ha fatto un buon lavoro. 
 
 
Per concludere ING direct può usare la propria app come portale di pagamento, basta che implementi nel proprio programma le api le HCE. Successivamente può utilizzare i propri server remoti per effettuare le autenticazioni e transazioni senza lasciare nulla di residente nel telefono. QUINDI un qualsiasi cellulare compatibile con le api HCE può DI FATTO (ora ci sta) diventare un emulatore di carte HCE e mandare e leggere dati da un POS di un commerciante. I dati poi devono essere trasferiti a server che effettuano la transazione sul tuo CC.
 
Chiaro che non è a costo "zero" ma ING possiede tutte le infrastrutture e accordi necessari per poter effettuare una manovra del genere.
 
Spero di averti chiarito le idee almeno un pochino. 
djechelon

djechelon

Apprendista
Ciao @ciberkids, l'argomento è evidentemente complesso e lungo da affrontare. Per quanto riguarda il root, preferisco non commentare ulteriormente perchè semplicemente la pensiamo diversamente. Inoltre il succo di tutto il discorso lo vedo proprio nell'articolo che mi hai linkato, dove leggo tra i paragrafi "Non c'è ancora la soluzione per tutti, ma qualcosa si muove". Ecco, questa frase ricalca molto la mia visione. Riguardo l'abbinamento a SIM NFC questo era il caso di Intesa Sanpaolo che abilita le sue carte (contactless!) solo con TIM Wallet e Poste che ha già realizzato l'applicazione per i clienti PosteMobile + Postepay. Prendi una SIM Wind NFC, ad esempio. Due anni fa mi fu detto sia da Wind che da Intesa che non era possibile associare la modalità di pagamento contactless sulla SIM. Non mi risulta le cose siano cambiate. Lo stesso articolo che mi hai linkato evidenzia come il mercato non sia omogeneo ma costituito da pochi incroci banca/operatore mobile. Il fatto che ci siano operatori Over-The-Top come Google ed Apple ("e a breve CartaSi") la dice purtroppo lunga sull'inquinamento del mercato, perchè questi soggetti hanno troppo e troppo potere per non dettare le (loro) regole. Su CartaSi non ero aggiornato, aspetto di vedere in pratica cosa sta uscendo sul mercato e leggo ben volentieri la tua fonte. Riguardo Secure Element e HCE hai fatto un ottimo discorso da tecnico, hai sottolineato correttamente che la tecnologia ce l'abbiamo. Il problema è trovare una BANCA, organismo tendenzialmente paranoico e legato più che contrattualmente politicamente con i suoi fornitori, che sia disposta ad accettare transazioni dallo smartphone PincoPallo V8 che supporta l'emulazione host card. Io con le banche ci lavoro e il loro atteggiamento (verso le versioni "storiche" di Internet Explorer, Windows, Java, .NET tanto per farti degli esempi) è particolarmente conservativo. Non voglio portare la discussione troppo sul tecnico in modo che anche altri possano leggerci, ma come hai sottolineato sono disilluso. Disilluso perchè la stessa Apple ormai sfrutta il suo essere OTT per attirare contratti con banche e quindi portare al fenomeno del "se lo fa lui lo voglio anch'io". C'è una domanda dal basso pazzesca, e non pensare che gli OTT sviluppino tecnologie NFC senza un tornaconto economico... Inoltre per la mia esperienza con banche che non hanno a che vedere con soggetti "commerciali" come ING, Intesa, Che Banca, ecc. (JP Morgan, BBVA, Natixis, Morgan Stanley, Bank Of America ti vanno bene come nomi?) posso dirti di essere pessimista sul fatto che queste accettino di far interagire con i loro POS dei dispositivi - tieni bene a mente la dicitura - "NON CERTIFICATI". Ecco perchè ipotizzavo che una banca tendenzialmente siglerà accordi con i due o tre maggiori produttori (Apple, Samsung, LG, Huawei) e lascerà fuori gli altri. Sono gli stessi produttori di smartphone, inoltre, a voler tagliare fuori i competitor. Quindi al di là dell'eccellente argomentazione su come uno smartphone costruito anche a blocchetti dall'utente (cfr. Google Project Ara, anche se non avesse il marchio G) POSSA tecnicamente essere utilizzato come carta di pagamento, questa prassi non mi sembra ancora "sdoganata" ma legata a sistemi, ma ancor più ad "approcci", molto più conservatori. Un mercato della tecnologia NFC paritaria lo vedo troppo difficile. Fosse per me, attiverei il pagamento HCE sul mio smartphone Android rootato stasera stessa!
ciberkids

ciberkids

Apprendista

Ho letto la tua risposta @djechelon,

devo ammettere che devo darti ragione

in alcuni punti.


Vorrei solo mettere qui una "piccola" spiegazione sulla tecnologia così tutti possono averne un idea chiara.

 
Vorrei prima farti una piccola spiegazione su cosa significa HCE, come funziona la tecnologia
Apple (apple pay) come funziona la tecnologia Samsung (che ha acquistato LoopPay) e la
Tecnologia NFC. Credo che sia utile a tutti.

Tieni sempre a mente che con la tecnologia contacless utilizzata nei mobile payments si
sta emulando una carta di credito in quanto NFC in se è solo una specifica di comunicazione,
cosa ci fai passare sopra è arbitrario... con NFC io ci passo contatti e foto al momento. 

 

Quindi la questione sta tutta su chi possiede i dati della tua carta di credito.
Infatti il problema è la smaterializzazione del denaro e chi si fa da garante.
La faccenda degli operatori Telefonici (Tim Wallet, Vodafone Wallet, Skifo Wallet)
è solo una questione di garante... loro si sono inventati sto metodo per il quale tu
carichi il tuo conto telefonico e utilizzano la sim come garante con l'area criptata. 

 

altra fonte che non fa mai male: https://www.androidpit.com/samsung-pay-vs-android-pay-vs-apple-pay-comparison

 

Ma andiamo con ordine: Apple Pay.

 

Apple Pay è la tecnologia che Apple ha implementato per la fruizione dei pagamenti contanctless.

Questa tecnologia è proprietaria, e funziona solo su IPhone, Apple Watch e IPad.
Per poter essere compliant con questa tecnologia bisogna disporre di dispositivi di
pagamento certificati per il pagamento contactless potenzialmente i normali POS contactless
potrebbero essere compatibili) e cosa più importante i pagamenti passano per le casse Apple,
infatti è Apple stessa che si fa da garante per la sicurezza dei pagamenti,
ecco spiegato il motivo per il quale le banche devono siglare accordi con Apple per poter
dire: "con noi puoi pagare con ApplePay". Il problema qui è duplice:
1) Apple non ha rilasciato l'accesso alle api per accedere al suo sitema di pagamento,
al di fuori di 3/4 paesi
2) la banca del commerciante deve avere siglato accordi con Apple affinchè il denaro
possa transitare dall'account Apple del utente (nel quale questo deve aver inserito la sua
carta di credito), al smartphone al conto corrente del commerciante ovviamente con
le dovute "accise".

 

Quindi riassumento Apple: protocollo Contacteless standard ma apple mette sempre un sacco
di "pugne" sui device quindi è ancora un po' un mistero.
Garante: Apple, ecco la necessità di accordi economici
Dispositivi compatibili: Apple device da una certa annata in poi.

piccola nota a margina se vai in una Apple Store e compri qualcosa giocando in casa puoi
gia pagare con Apple pay in quanto ilgiro che fa apple è semplice: account del utente,
prelievo soldi come farebbe tramite Itunes Store, versamento soldi in cassa Apple,
non servono accordi: Apple non sta facendo nulla con altre banche.

fonte: https://it.wikipedia.org/wiki/Apple_Pay e https://en.wikipedia.org/wiki/Apple_Pay

 

Samsung Pay:
Samsung Pay al momento è una delle tecnologia più vincenti come compatibilità al momento
per un motivo molto semplice è compatibile sia con in terminali POS contactless che non.
Infatti Samsung ha acquistato un'azienza chiamata Looppay, la quale tramite un speciale
emettitore permette di emulare il campo magnetico generato al momento del "strisciaggio"
di una carta di credito/debito con banda magnetica. Questa tecnologia quindi è compatibile
con qualsiasi POS anche non contact less. Il problema è che i dispositivi che si portano
in dote questo tipo di emettitore sono solo i device usciti dal S6 in poi.
Poi Samsung pay, ancora una volta, usa la tecnologia NFC per comunicare con i POS contactless
in caso lo rilevino.
Anche qui i problemi sono molteplici: Samsung non ha rilasciato l'accesso alle api se non
in alcuni paesi (incredibilmente la Spagna avrà accesso a queste api prima di tutti in
europa O_O). Anche in questo caso c'è bisogno della necessità di disporre di accordi
interbancari tra Samsung, (dove l'utente ha inserito la sua carta di credito) che fa da
garante alla transazione, e la banca del commerciante sempre conle dovute accise, vuoi mai
che samsung non ci quadagni qualcosa in questo giro Smiley Felice.

 

Quindi riassumento Samsung: standard ma con compatibilità anche con POS non contactless.
Garante: Samsung, ecco la necessità di accordi economici
Dispositivi compatibili: Samsung device da una certa annata in poi.

 

Android Pay

 

Ecco l'ultimo attore in fatto di pagamenti contactless. Anche questa tecnologia utilizza
comunicazioni contactless. Qui la facenda è sempre la stessa descritta precedentemente.
Il Garante è Google infatti loro hanno in mano la carta di credito. Anche qui le api non
sono ancora accessibili se non in alcuni paesi. La modalità di transazione è sempre la
stessa: account google (dove risiede la carta di credito) e la banca del commerciante.
Però in questo caso c'è un però la tecnologia google utilizza le api HCE di android e siccome
in praticamente tutti i smartphone android c'è un account Google, e che le api HCE sono
disponibili per tutti i dispositivi con dispositivo NFC e che le api sono disponibili
dalla versione 4.4 di android, qui la compatibilità di device è enorme.

riassumento:

 

Quindi riassumento Google: standard.
Garante: Google, ecco la necessità di accordi economici
Dispositivi compatibili: praticamente con tutti i dispositivi con almento android kitkat 4.4 e NFC.

Quindi in tutti questi casi degli operatori OTT è sempre una IL GARANTE e qui arriva la
mia obbiezione.

 

A volte rimango alibito dalla miopia di certi entità economiche, perchè la paura la fa da
padrona.

Abbiamo detto fin ora che tutti si basano sull'emulazione della carta di credito tramite
NFC (protocollo arci noto poi spiego) e la questione sta tutta in chi si fa da garante
per la transazione ovvero da dove passano i soldi.

In questo contesto le banche hanno risposto con le varie carte NFC (vedi Arancio Pay) le
quali non fanno altro che implementare il protocollo di transazione nella carta tramite
un chippettino NFC inserito all'interno della carta.

Abbiamo detto che le api HCE(android, gli iphoniani si attaccano) sono disponibili per tutti 
i device con NFC da kitkat in poi.

 

Abbiamo detto che il problema sono gli accordi su come i soldi transitano da un ente
all'altro, ma se una banca ha la sua carta NFC allora gli accordi sono stati gia siglati.

Solo io vedo il fatto che la banca tipo ING ha: tutti i dati della mia carta di credito,
gli accordi con altre banche gia siglati, un app su android abbastanza buona, la
possibilità di usare le api HCE, cosa manca?

 

Io credo nulla, basta fare in modo che i stessi valori che vengono mandati dalla carta
Arancio pay al posto di fluire tramite il chip cablato nella carta fluiscano tramite il
chip impiantato nel cellulare. La sicurezza? semplice quei dati non risiedono nel cellulare
ma vengono richiesti di volta in volta a un server remoto e il cellulare altro non
fa che: da traduttore. La sicurezza dei dati attraverso internet viene garantita da
comunicazioni cifrate. Problema se non hai internet non paghi. IMHO se non hai internet
sul cellulare usi la carta.

 

Esistono gia ora applicazioni in grado di leggere i dati di una carta contactless 

utilizzando le api HCE (non la linko perchè ci sono in giro un sacco di malintenzionati
ma se mi scrivi in pvt te la dico)

Quindi qui il problema non è la tecnologia, la tecnologia è ben oltre dall'essere pronta,
se sta arrivando nelle sfere consumer (arancio pay) allora significa che un certo grado
di sicurezza già c'è, manca la voglia e sopratutto la comprensione della tecnologia.

 

Ora tutti gli esercizi che hanno una carta contactless hanno GIA di fatto gli accordi. 

Sul fattore root/non root, purtroppo a volte do ragione alle aziende... tu puoi essere
un utente con buoni propositi ma un cellulare senza briglie in mano a brutta gente sono
solo problemi.

 

esempio OT ma calzante: sai perchè, per esempio, Sky Go non è installabile su dispositivi
rootati? perchè (ho lavorato in sky e l'ho visto fare) se uno ha il dispositivo rootato
con sky go installato può intercettare il flusso streaming che l'applicazione sta facendo
e renviarlo su un altra interfaccia di rete. Di fatto puoi usare il cellulare come "proxy"
e riviare il flusso a chiunque tu voglia, potenzialmente anche a chi non sta pagando per
avere accesso al quel flusso streaming (in quanto sky go ce l'hai se paghi sky) quindi Sky
non è molto felice di questo. Per il discorso Samsung è perchè samsung ha pagato 
Sky per avere l'esclusiva e vedendere 8 cellulari in più.

 

E questo è solo un esempio si possoo fare le peggio cose con un cellulare rootato se sai
come fare. Non importa che tu sia uno di quei "bravi utenti onesti", dietro di te ce ne
sono altri mille ladri che non aspettano altro che il pollo. Putroppo la tecnologia non è
buona o cattiva è solo tecnologia e siccome il root non è buono o cattivo ma è solo "root"
ma chi usa la tecnologia può essere buono/cattivo. Statisticamente con un telefono non
rootato puoi fare meno il cattivo.

 

Per concludere, anche io ho visto l'atteggiamento della banche (parliamo ancora di 

COBOL?!?!?!) nel aggiornare la propria infrastruttura e tecnologia perchè il leiv motive
è: "se funziona e sta funzionando da anni non lo cambiamo. (punto)" ma si sta scavallando,
il mantenimento di tecnologie troppo vecchie è più oneroso della loro reimplementazione e
tutti sono attaccati ai soldi come se 10 euro in più facesse fallire una banca (a volte
sorrido quando per un progetto si litiga per 1000€ di budget con un ente che fattura
MILIONI, ma vabbe...) poi to' ecco che capisci come vanno le cose con i vari scandali
(parliamo di banca Etruria??).

 

Comunque si stanno attivando organismi più giovani, più snelli e sopratutto con tecnologie 

moderne, infatti entità come le banche on line hanno letteralmente "spaccato i culi" alle
classiche banche dietro casa, motivo? un esempio, prelievi gratuiti tramite circuiti
alternativi ecc ecc... non dico che sia stata un operazione da poco anzi. Però quello che
sto sostenendo è perchè aspettare, che non so, che una Fineco bank, Che Banca. IWbank o
altra entità, legga una discussione come la nostra e porti via clientela a ING direct
(parlo da cliente ING direct)?

 

 

Ciao Smiley Felice

djechelon

djechelon

Apprendista
Ti prego non facciamo confusione. Due parole su sicurezza dei cellulari con sistema operativo modificato. Ovvio che Sky ha tutto l'interesse a impedire ai SUOI STESSI CLIENTI di FREGARE SKY con il trucco di cui parli. E così è Infinity, Netflix, ecc.. Viceversa il vero rischio, in ambito bancario, è che un software dannoso sfrutti i privilegi di root per FREGARE IL CLIENTE più che la banca stessa, al netto che la banca risponde delle transazioni ricusate. Che interesse ha la banca a impedire l'accesso ai root? ING attualmente mostra un avviso amichevole ma non mi impedisce l'accesso nè l'uso del token. Ma se uno è cosciente di ciò che fa non può far danni a ING, questo il punto. Un po' come le applicazioni di bigliettazione aerea. Non è che se sono in grado di leggere dalla memoria del cellulare, tramite semplici o complessi magheggi, il codice a barre del biglietto aereo, io possa far danni. In aeroporto si entra solo col documento oltre che col biglietto!!! :-)
ciberkids

ciberkids

Apprendista

Bhe, a voler essere pignoli pignoli la risposta alla tua questione è NI/SO/SNI  @djechelonSmiley Felice.

 

Ti do esattamente ragione, a ING non interessa leggere o rubarti dati e IMHO nella stragrande maggioranza dei casi è solo un pararsi il fondoschiena (ma come sono polite in questa discussione Smiley Molto-felice).

 

Allora come sempre di un problema ci sono mille sfaccettature e mille direzioni per poterlo valutare. Cerco di dare alcune visioni magari chiarisco.

Dal tuo punto di vista: utente diligente, con cognizione di causa, onesto, lavoratore ecc ecc mi sembra giusto vedere la limitazione imposta per i telefono rootati come una lesione della tua libertà.

 

Ora gli attori in questo siete in 2: tu e l'ente; e diciamocelo, l'ente ce l'ha più grosso non c'è niente da fare. Quindi forte della sua posizione, lui decide dove mettere l'asticella per le questioni legali (ora ci arrivo) e va da se che, più l'asticella sta dalla parte tua, meno pugne gli puoi tirare fuori.

Ora prendiamo l'asticella e decidiamo:

1) telefono in uno stato illibato, come il costruttore lo ha prodotto e se succede qualcosa all'utente son azzi miei,

2) telefono rootato (Evvai!!!), si risponde: eh che ne so io che tu non abbia bla bla bla, mica so cosa il "root" potrebbe fare, se il costruttore non lo ha messo dentro allora non è colpa mia, io mi rifaccio sul modello che il costruttore mi ha fornito... ti hanno fregato? ehhhhh azzi tua... Possibile risposta del cliente: "si ma stavo usando la vostra app per fare un bonifico e ho scritto 10.0 € e lui ha bonificato a pippo 100000 € è chiaramente un errore di programmazione qualcuno ha valutato male il punto", Risposta ente: "BHUAUHUAHUAHUAHU si, si, tu mi piaci, vieni a casa mia e ti farò trombare mia sorella [cit. Full Metal Jacket]" click... tu.. tu...tu...tu....

 

Poi per la questione puramente tecnica, e puramente di sicurezza riguardante il root, i sistemi operativi mobile IOS e Android in primis (Windows Phone se lo cagano si e no in 2) sono soggetti quotidianamente a ricerca di exploit per malware, keylogger, memreader ecc ecc. 

In fin dei conti il jailbreak di un iphone o il root del telefono (se non previsto dal costruttore: sony sta cambiando politica e ti fa rootare il telefono a piacimento) altro non sono che exploit, ovvero sfruttamento di vulnerabilità di -->sicurezza<--- per fini diciamo bonari e quindi prendere il controllo completo del hardware in tuo possesso.

Però, se io sono un cattivone, e scopro che sulla versione di chrome per android c'è un bug e che se tu visiti la mia pagina io ti installo (senza che tu te ne accorga, chiaro) un programma. Fin qui non siamo molto distanti dalla realtà.

A questo punto io voglio assolutamente rubare dati bancari perchè voglio fare soldi easy. Quindi quando scrivo il programma io gli dico, adesso scansiona tutte le app (con le api standard puoi farlo) e se trovi un app in questa lista( banca a, banca b, banca c, eccecc) fai in modo (non ti sto a spiegare come) di leggere gli imput da tastiera che vengono immessi salvali e magari di notte inviami i dati in un serve un turkmenistan.

Ecco il root in questo caso sarebbe nocivo, infatti per poter effettuare un attacco del genere serve necessariamente scalare i privilegi di root e se il root già c'è la chiamata alla funzione è verametne una riga di codice.

Tu mi chiedi e cosa gli interessa di prendere quello che scrivo da tastiera? bhe una volta che tu inserisci nell'app, codice utente, data di nascita e codice di sicurezza io posso dire che ho TUTTE le informazioni per controllare il tuo conto Smiley Molto-felice

Aggiungici poi che andiamo a giocare con numeri che sfiorano i tanti milioni di dispositivi e che io (cattivone) non devo fare assolutamente niente... solo aspettare.. io piazzo la trappola sul web e poi aspetto e, credimi, di polli ce ne sono  TANTI ma TANTI e i dati iniziano ad arrivare a quel punto è fatta.

 

Quindi il problema sicurezza in caso di root si può dire che si abbassa (è un caso) però di fatto a far fronte ai cattivoni ti togli l'aiuto delle politiche stringenti di un sistema basato sui privilegi di cui tu non sei in possesso e se non li hai tu non li ha neanche il cattivone. Quindi ad affrontare i cattivoni rimani tu e il tuo buon senso.

 

Motivo per il quale io il root lo faccio alla bisogna faccio le modiche e lo tolgo (ci sono mille modi per farlo), perchè diciamocelo il root serve molto spesso a dare a poter installare applicazioni che devono poter agire a livello di SO (sistema operativo) e i casi sono veramente 4/5 in un anno.

Quindi semplicemente io attivo il root. sistemo l'applicazione e la faccio girare come serve (le cambio i diritti, la faccio diventare app di sistema ci sono vari modi) e poi tolgo il root. Effetto, guardo sky go sul mio smartphone, guardo netflix, e non ho quel fastidiosissimo banner Smiley Molto-felice

 

Spero di aver fatto un altro po di chiarezza. Consiglio: in questo campo TUTTO è opinabile/rubabile crakkabile e l'evoluzione è continua e infinita: per ogni exploit chiuso il cattivone ne vorra sempre trovare un altro.

 

Ciao Smiley Felice

 

 

 

 

 

 

Simone_ING

Simone_ING

Community Manager

Grazie, riteniamo che la tua idea sia interessante per la “Banca del futuro”!
Ci auguriamo di poterla offrire prossimamente ai nostri clienti.
Continua a partecipare.

 

Stato cambiato in: Idea in valutazione