'Apple slaat creditcardgegevens voor Apple Pay niet op'

Het lijkt erop dat Apple de creditcardgegevens die gebruikt worden voor de betaaldienst Apple Pay niet zelf opslaat. In plaats daarvan zou het bedrijf de gegevens slechts doorsluizen naar de creditcardmaatschappij, die vervolgens met Apple communiceert via tokens.

The Unofficial Apple Weblog ontdekte dat door te kijken naar de technische specificaties van Apple Pay en door te praten met een aantal niet nader genoemde personen die aan de ontwikkeling hebben meegewerkt. De site stelt dat de creditcardgegevens van Apple Pay-gebruikers niet worden opgeslagen bij Apple zelf; wanneer een nieuwe gebruiker zich registreert worden de ingevoerde creditcardgegevens doorgestuurd naar het bedrijf dat de creditcard heeft uitgegeven.

Als de creditcardmaatschappij bepaalt dat de gegevens kloppen, dan wordt een token van 16 nummers teruggestuurd naar Apple, die dit als een soort 'dummy'-creditcard inzet. De laatste vier cijfers zijn afgeleid van de originele creditcard, maar de rest van de cijfers worden willekeurig gegenereerd. Deze token wordt vervolgens beveiligd opgeslagen op de iPhone waarop Apple Pay wordt gebruikt. Omdat het token grotendeels willekeurig wordt gegenereerd kan een hacker die binnendringt op de servers van Apple de cijfers niet herleiden naar creditcardgegevens.

Bij een transactie via Apple Pay wordt het op de iPhone opgeslagen token naar de winkelier gestuurd, die het op zijn beurt doorstuurt naar de creditcardmaatschappij waar de originele creditcardgegevens worden achterhaald. Vervolgens wordt om autorisatie van de transactie gevraagd aan de bank die de creditcard heeft uitgegeven, waarna deze zijn goedkeuring doorgeeft aan de winkelier. Op deze wijze worden er geen creditcardgegevens tussen verschillende partijen verstuurd, waardoor onder andere een man-in-the-middle-aanval wordt tegengegaan.

Apple heeft nog een aantal beveiligingsmaatregelen getroffen voor Apple Pay. Zo wordt er naast een token onder andere ook een driecijferig cvc-nummer gegenereerd. Dit beveiligingsnummer, dat doorgaans op de achterkant van een creditcard staat, wordt gegenereerd met een cryptografisch algoritme dat het cijfer dynamisch genereert op basis van het al eerder gegenereerde token.

Daarnaast wordt er bij elke transactie een eenmalig cryptogram gegenereerd op basis van gegevens over het gebruikte apparaat en de bewuste transactie. Dit cryptogram moet ervoor zorgen dat een betaling alleen kan worden uitgevoerd op een apparaat dat ook daadwerkelijk is gekoppeld met Apple Pay.

Nadat Apple zijn mobiele betalingsdienst Apple Pay wereldkundig maakte ontstond er discussie over het afstaan van creditcardgegevens. Het lijkt er dus op dat het bedrijf het opslaan van creditcardgegevens overbodig heeft gemaakt, al zijn er officieel nog geen uitspraken over gedaan.

IT-banen

Reacties (63)

ronaldmathies 3 oktober 2014 21:12

En het leuke is nog dat ze gewoon een standaard gebruiken die dit jaar goedgekeurt is.

Details: EMVCo tokenization specification:

http://www.emvco.com/specifications.aspx?id=263
http://www.macrumors.com/...ok-at-apple-pay-security/

[Reactie gewijzigd door ronaldmathies op 24 juli 2024 01:26]

Keypunchie

Apple
E-commerce
Betalingsverkeer

@raro007 • 3 oktober 2014 22:11

Je bedoelt "open standaarden". En dan nog is het een onterechte verbazing.

Posix, USB, Wireless 802.11-wireless standaarden, Webkit.

Apple implementeert veel vaker open standaarden, sommige worden daar zelfs groot door.
En soms doen ze het ook niet.

HFS+, Dock-Connector, FireWire.

Allemaal proprietary standaarden.

De sleutel voor Apple is dat ze zelf een bewuste keuze maken iedere keer om de naar hun mening 'juiste' standaard te gebruiken, in plaats van alleen maar proprietary standaarden of puur open standaarden te kiezen.

Commentator John Gruber beschrijft dat vaak als dat Apple technologisch sterk 'geopinieerde' keuzes maakt. Daardoor zijn sommige mensen ook zo ge-irriteerd met Apple ( zoals je dat met iemand met een sterke mening kunt zijn). Belangrijk is daarbij wel dat je erop blijft letten waarom Apple iets doet. En dat is dus niet omdat ze in het algemeen iets tegen (of voor) open standaarden hebben. Dat is omdat ze over een standaard _zelf_ een specifieke mening hebben.

[Reactie gewijzigd door Keypunchie op 24 juli 2024 01:26]

Sebast1aan @Keypunchie • 3 oktober 2014 22:54

Akkoord.

Als een 90's IT'er val ik steeds van mijn stoel van de huidige generatie IT'ers die niet hebben meegemaakt hoe anti-standaard Microsoft was/is en dan nu doen also Apple zo is. Dat was pretty-much de business tactic die Microsoft gebruikt om concurrerende bedrijven om zeep te helpen door hun totale vendor lock in approach. Je ziet dat tot op de dag van vandaag nog terug in hun producten. Excel kan b.v. perfect CSV's importeren, maar niet exporteren. Zo was het ook altijd met Outlook. Mail van concurrent x importeren? No problem. Exporteren? Fuck you.

Apple is nog nooit in de beurt geweest van dat soort praktijken. Ze zijn nog nooit een monopolie geweest, dus ze hebben het niet eens kunnen doen. Niemand word gedwongen om met Apple producten te werken, maar aan Microsoft ontkom je niet. Daar komt bij dat Apple veel eerder en veel intensiever open standaarden hebben omarmd dan Microsoft. Dit is ook één van de reden dat ik destijds zelf ben overgestapt naar OS X als Linux gebruiker. OS X komt standaard met Apache, Pyhon, PHP, MySQL, Bash LDAP, NFS, SSH, OpenSSL, Samba, VIM, etc., etc.

Apple is inderdaad wel een bedrijf die zoals jij zegt "geopinieerde' keuzes maken. Ik zou het eigenlijk ook wel pioneerde keuzes willen noemen. Ze hebben ballen genoeg om keuzes te maken die de massa niet zou maken of zelfs volledig tegen is. Soms pakt zo'n keuze niet goed uit (geen USB3 op Macbook Pro's in het begin, geen USB op de eerste iPod's), maar soms ook spectaculair wel (geen flash support, geen stylus op een smartphone, tablet met een non-desktop OS en geen keyboard).

Misschien dat daar ook die enorme Apple haat vandaan komt, een fenomeen wat ik nog steeds niet helemaal begrijp. Wellicht conservatief vs progressief. Status Quo vs je eigen koers varen no matter what.

[Reactie gewijzigd door Sebast1aan op 24 juli 2024 01:26]

Verwijderd @Sebast1aan • 4 oktober 2014 00:33

Goede reactie, ik wil ook nog even wijzen op het door sommige lieden gespuide vooroordeel dat Macs voor "dummies" zijn. In de web/app development wereld zie je momenteel behoorlijk veel mensen overstappen naar Mac juist vanwege de geweldige dev mogelijkheden, ondersteund door tig tools die uiteindelijk op de Linux/Unix commandline gestoeld zijn.

Ik heb geen Mac, ook nooit gehad, maar kijk met bewondering naar het OS. Een killer combinatie tussen een open, krachtig en bewezen systeem, met daarop geplakt een UI van wereldklasse. Ik ga toch maar een keer instappen.

Als je dat afzet tegen de Windows geschiedenis: begonnen als single user, single task, no network, no security OS, gevolgd door 15.000 pleisters om dit recht te trekken.

computergek80 @Verwijderd • 5 oktober 2014 00:44

Als je wilt overstappen zonder een (dure) Mac te kopen is het misschien interessant om OS X op een reguliere PC te hacken. Een hartstikke leuke uitdaging. Je kunt bijvoorbeeld met deze uitleg kunnen beginnen.

Henk Poley @Sebast1aan • 4 oktober 2014 17:34

Samba overigens niet meer heh. Sinds OS X 10.7 hebben ze eigen SMB/CIFS implementatie. En OpenSSL is nog wel aanwezig maar deprecated, ook sinds 10.7.

Beide hebben ook nooit in iOS gezeten. Maar überhaupt veel van je lijstje niet

[Reactie gewijzigd door Henk Poley op 24 juli 2024 01:26]

johnkeates

Betalingsverkeer

@raro007 • 3 oktober 2014 22:56

Volgens mij heb je geen idee hoe technologie werkt en praat je uitsluitend over dingen waar je wel een mening over hebt maar niet weet wat het precies is.

802.11 is iets waar Apple heel vroeg bij was. Ze gebruiken die standaard niet om dat ze er een mening over hebben, maar om dat het de enige geschikte standaard is voor consumenten. Dit is precies in lijn met wat Keypunchie post. Alle cellular verbindingen zijn ook om die reden gebruikt: om dat het de enige levensvatbare standaard is voor het doel: consumenten met hun operators verbinden.

WebKit, dat is een open source project, dat inderdaad door Apple geïnitieerd is en opgebouwd is vanaf KHTML dat weer een zelfstandig open source project was. Google heeft tot recente versies van Chrome altijd WebKit gebruikt, dezelfde WebKit die Apple gebruikte. Dat ze recent een fork gemaakt hebben en die Blink genoemd hebben betekent niet dat ze opeens meer dan het WebKit team kunnen doen. Het betekent slechts dat ze andere dingen kunnen doen die niet binnen de afgesproken regels van het WebKit team vallen. Apple heeft er behalve de Safari-WebKit relatie weinig mee te maken.

Woorden als 'bleeding edge' kunnen gebruikers als jij maar beter niet gebruiken, want je hebt kennelijk geen idee wat dat betekent: het is niks anders dan 'de meest recente commit' als je het over software hebt. Als ik een pakket bouw en in 2001 beslis er mee te stoppen is die 2001 versie bleeding edge, en dat is ie dan in 2014 nog steeds. Zegt dus vrij weinig.

Stel dat je het vanaf een technologie implementatie standpunt wil bekijken (dat kan uiteraard), dan zou je kunnen kijken naar de breedste ondersteuning. Dat is het op het moment nog steeds voor WebKit. Of je kan kijken naar de meeste geïmplementeerde functies per fork. Dan zou Blink misschien hoger scoren, maar daar heb je als eindgebruiker uiteindelijk bar weinig aan. Stel dat je Trident vs. WebKit zou zeggen, dan had je misschien nog een punt als je zou stellen dat Trident minder (correct) implementeert dan WebKit en/of Blink. Of Presto dat al een tijdje zo goed als stil ligt.

Wat Bluetooth betreft implementeert Apple gewoon de standaard. Net als alle andere gecertificeerde Bluetooth apparaten. Dat moet ook wel, want anders zou het geen bluetooth mogen heten, geen bluetooth logo mogen hebben, en zou het over het algemeen ook gewoon niet werken. Dat is dus niet wat je hier ziet: Apple kiest er voor om bepaalde services niet te gebruiken. Zo is A2DP wel te gebruiken maar OBEX niet. Dat kan je niet aan staan, en dan koop je het product gewoon niet. Dit soort informatie is ook gewoon gepubliceerd, bijvoorbeeld op:

http://support.apple.com/...locale=en_US&locale=en_US

Bij Bluetooth mag je dacht ik zelfs de hele stack implementeren met 0 profielen en dan kan je nog steeds gecertificeerd worden. Dus misschien moet je maar gewoon minder over standaarden praten als je er te weinig over weet.

Verder zijn standaarden altijd 'eigen'. Iemand heeft namelijk een standaard opgezet en dan is die standaard dus 'eigen'. Er is geen standaard die wel opgezet is, maar niet door iemand, want iets kan niet door niets opgezet worden in deze context.

Verder is het helemaal niet gek dat een fabrikant van geïntegreerde producten binnen een eigen ecosysteem zelf standaarden toevoegt. Vooral niet als binnen dat ecosysteem die standaarden gewoon werken.

Klagen over het feit dat er bijvoorbeeld Lightning gebruikt wordt waar USB had moeten zitten heeft weinig zin, USB was in dit geval gewoon niet geschikt geacht, en een enkele mening gaat daar wat aan doen. Stel dat USB type C uit komt, dan zou je nog een beetje een punt kunnen hebben, maar dat is er nog lang niet, en als het er wel is heb je kans dat de meeste protocollen nog niet ondersteund worden en dan heb je er nog niks aan als compacte transport bus.

Ook hier geldt weer: als je het niet met dat soort systeem ontwerpen eens bent, dan koop je het product lekker niet. Maar verwacht niet dat je een goed argument kan verzinnen waarom het tijdens het ontwerpen van het apparaat anders had gemoeten, de hoeveelheid mensen die over het algemeen de juiste skill set heeft om electronica te ontwerpen is in verhouding extreem klein, voornamelijk om dat de meeste mensen de kennis en het inzicht niet hebben en niet willen of kunnen hebben om het zelf te doen. Je kan het natuurlijk wel proberen, maar ik acht de kans groot dat al je ideeën en argumenten compleet de plank mis slaan en net als bij de meeste mensen die met een idee komen niet in de tijdlijn van een bestaand ontwerp past. Vooral niet als er over technologieën gepraat wordt die op het moment van het ontwerpen van een apparaat nog niet bestonden.

Neus @johnkeates • 4 oktober 2014 00:01

Burn!

Sorry, kinderlijke reactie maar serieus, ik heb met interesse je reply gelezen! Erg goed onderbouwd.

PostHEX @Neus • 4 oktober 2014 01:34

Nou ja, hij heeft in z'n uitleg gelijk, maar het er in wrijven werd er wel erg dik en disproportioneel bovenop gelegd. Zo vond hij/zij 't nodig om 't drie keer te vermelden dat z'n tegenspeler het niet weet waar hij/zij het over heeft, en een aantal keer vermelden/impliceren dat als je mening niet reëel is en je conclusies over zaken technisch fout zijn -- ook al is het mogelijk dat die persoon op dat moment niet beter weet -- je je mond moet houden.

Het is prima als jij (derde persoon) het beter dan een ander weet, en het is ook prima om dat dan te verwoorden, maar wees dan wel zo groot om een ander ook de kans te geven om fouten te maken. Jammer dat sommige techies het niet kunnen laten om buiten de inhoud te treden en tijdens discussies er een vendetta van te maken.

Als ik hieronder naar Keypunchie's antwoord op raro007's kijk, is dat stukken meer in lijn hoe je een voldoende antwoord kan geven. Niet zo moeilijk, toch?

[Reactie gewijzigd door PostHEX op 24 juli 2024 01:26]

Keypunchie

Apple
E-commerce
Betalingsverkeer

@raro007 • 3 oktober 2014 23:08

wirless 802.11 wireless standaarden meen je deze of maak je een geintje?

Dit meen ik. Je geboortedatum weet ik niet, dus mogelijk heb je het begin van het draadloze tijdperk niet meegemaakt. Dit gebeurde rond het jaar 2000. Het was Apple die onder merknaam "Airport" en later "Airport Extreme" de 802.11-standaard omarmde en populariseerde.

Wat dat betreft hoef je mij niet te geloven, maar kun je gewoon de geschiedenispagina's van de IEEE zelf naslaan.

The first widespread commercial use of the 802.11b standard for networking was made by Apple Computer under the trademark AirPort.

Hetzelfde voor 802.11g

The first major manufacturer to use 802.11g was Apple, under the trademark AirPort Extreme.

gjmi @raro007 • 4 oktober 2014 08:51

Oei... jammer. Je heb keypunchie helemaal niet begrepen.

Jij haalt aan wat je met een iphone allemaal niet kunt doen. Dat staat helemaal los van waar het over gaat.
En als je iets meer zou weten over de geschiedenis van hedendaagse standaarden en van Apples geschiedenis met keuzes daarin dan zou je waarschijnlijk een ander commentaar gegeven hebben.

Jaap-Jan @BoringDay • 4 oktober 2014 10:57

Precies. Veel veiliger om persoonlijke informatie over internet te sturen, langs tientallen routers, dan p2p met een bereik van 100 meter.

Al die onderschepte en gelekte informatie Is natuurlijk afkomstig van Bluetooth man-in-the-middle- aanvallen. Het internet is veel veiliger.

BoringDay @Jaap-Jan • 4 oktober 2014 11:58

Via internet? het kan toch allemaal lokaal zonder internet?
Centraal beheer punt zodat je weet waar je data staat (NAS/TimeCapsule of netwerkschijf) ipv alles rond laten slingeren van toestel a naar toestel b en op den duur geen overzicht meer hebt.

CyBeR @Keypunchie • 4 oktober 2014 08:25

FireWire

http://standards.ieee.org/findstds/standard/1349-2011.html

Keypunchie

Apple
E-commerce
Betalingsverkeer

@CyBeR • 4 oktober 2014 11:26

Je linkt naar de verkeerde standaard. Je bedoet IEEE-1394, niet 1349.

Zoals Bouwfraude ook al zegt: Het is geen open standaard.

Dit komt omdat de licensering van een flink aantal (Apple) patenten vereist. Volgens de Wikipedia kost dat ongeveer $ 0.25 per aansluiting.

bouwfraude @Keypunchie • 4 oktober 2014 10:44

Firewire is wel gedocumenteerd https://en.wikipedia.org/wiki/IEEE_1394 maar niet echt een open standaard.
Het grappige is dat het bij mijn Mac mini beter werkt dan een USB2 harddisk.
De connector is ook beter/steviger dan micro-USB3.
De aansluiting van de iPhone 5s is op het eerste gezicht raar maar het prikt wel beter in dan micro-usb dat is toch te vaak prikken, oh nee, omdraaien, prikken, toch niet, weer andersom en dan uiteindelijk wel. Je kan natuurlijk een stip op de connector typ-exen.

Aaargh! @raro007 • 3 oktober 2014 21:58

Apple gebruikt over het algemeen bestaande standaarden als die er zijn.

kiang

@Aaargh! • 4 oktober 2014 20:39

Zeker niet altijd het geval: hun keuze voor Airplay ipv MiraCast, Lightning connector ipv audio-over-USB, Lighting ipv microUSB, Thunderbolt pushen ipv gewoon USB3 te bieden, Airdrop als gesloten extensie ipv standaard WiFi-direct, dat zijn slechts enkele voorbeelden die erop lijken te wijzen dat waar mogelijk Apple kiest om hun gebruikers in hun ecosysteem vast te houden.

[Reactie gewijzigd door kiang op 24 juli 2024 01:26]

Aaargh! @kiang • 4 oktober 2014 22:15

Hoe had Apple voor MiraCast moeten kiezen, 8 jaar voor die standaard er was ?
Lightning kan veel meer dan USB met audio er in gehacked, geen alternatief dus, net als micro-USB. M'n MacBook heeft zowel Thunderbolt als USB3 dus ik zie daar het probleem ook niet echt.

arjankoole

Apple

@Aaargh! • 5 oktober 2014 21:03

M'n MacBook heeft zowel Thunderbolt als USB3 dus ik zie daar het probleem ook niet echt.

en los daarvan, thunderbolt is voor totaal andere dingen bedoeld als USB3. Ze hebben beiden dingen waar ze bij uitstek voor geschikt zijn, en waar ze absoluut niet voor geschikt zijn.

BoringDay @raro007 • 3 oktober 2014 23:35

Dat doen ze al decennia lang.

BtM909 @ronaldmathies • 3 oktober 2014 21:32

Was leuk geweest als het ook in het artikel was benoemd!

ZpAz

Apple

3 oktober 2014 21:25

Volgens mij zeiden ze dit ook al tijdens de presentatie.

badflower @ZpAz • 3 oktober 2014 22:29

klopt, werd precies zo uitgelegd tijdens de keynote. Tweakers, ff beter opletten!

Keynote - check vanaf 49 min
https://www.youtube.com/watch?v=OD9ZQ9WylRM

Je maakt een foto van je creditcard en die foto wordt niet opgeslagen maar omgezet naar een token. Die wordt gecombineerd met een unieke token per betaling.

robvanwijk 4 oktober 2014 01:38

Bij een transactie via Apple Pay wordt het op de iPhone opgeslagen token naar de winkelier gestuurd, die het op zijn beurt doorstuurt naar de creditcardmaatschappij waar de originele creditcardgegevens worden achterhaald.

Ik hoop dat het artikel ergens een detail over het hoofd heeft gezien, want als ik dit zo lees dan hoef je slechts één willekeurige (creditcard-accepterende) winkel te hacken om toegang te krijgen tot een service die tokens vertaalt naar "reguliere" creditcardgegevens... en dan zijn we dus nog niks opgeschoten...!?

Verwijderd @robvanwijk • 4 oktober 2014 02:22

De creditcardmaatschappij achterhaalt de gegevens enkel voor eigen gebruik om een transactie al dan niet te autoriseren. Die stuurt dus de creditcardgegevens niet terug naar de winkelier, enkel een "OK" of "NIET OK". Die winkelier krijgt de daadwerkelijke creditcardgegevens nooit te zien, en kan ze dus ook niet lekken.

t-h @mkools24 • 3 oktober 2014 21:32

Daar zit nou juist het verschil. Apple biedt net als Paypal de betaaldienst aan voor de winkelier. Maar Paypal slaat je creditcardgegevens op, houdt alle details van je betalingen bij etc. Apple niet. Die beperkt de eigen rol slechts als doorgeefluik.

Dit is overigens niet echt nieuws, omdat Apple dit tijdens de presentatie van Apple Pay allemaal al heeft verteld. Maar de techniek die erachter zit hebben ze toen niet toegelicht. Daar is nu meer over bekend. Voor de gewone man geen nieuws, voor een tweaker is dit toch wel degelijk van interessante / nieuws waarde?

[Reactie gewijzigd door t-h op 24 juli 2024 01:26]

reeboot @t-h • 4 oktober 2014 10:34

Daar zit nou juist het verschil. Apple biedt net als Paypal de betaaldienst aan voor de winkelier. Maar Paypal slaat je creditcardgegevens op, houdt alle details van je betalingen bij etc. Apple niet. Die beperkt de eigen rol slechts als doorgeefluik.
.....
Voor de gewone man geen nieuws, voor een tweaker is dit toch wel degelijk van interessante / nieuws waarde?

Hét grote nieuws is wat mij betreft dat Apple hiermee laat zien dat het niet uit is op de gegevens van de user en daarmee de privacy van de user respecteert. Dat liet ze ook al zien met touchID, waar ook de fingerprint niet op de servers wordt opgeslagen. Geen overheid die daarbij kan via Apple. En Apple kan er geen profielen mee maken die ze voor goud geld kunnen doorverkopen aan geïnteresseerde bedrijven. Wat je niet hebt kun je niet overhandigen, hacken of anderszins misbruiken.

Dat is in deze tijd een tamelijk unieke approach, waar Apple een nieuwe weg lijkt in te slaan. Eentje die ik toejuich. Ik ben graag bereid om een dure telefoon aan te schaffen die mijn privacy respecteert. En ik vermoed velen met mij....

[Reactie gewijzigd door reeboot op 24 juli 2024 01:26]

computergek80 @reeboot • 5 oktober 2014 00:49

Het is alleen jammer dat de meeste gebruikers hun eigen privacy steeds minder respecteren. Tenminste, dat denk ik. Er wordt steeds meer gedeeld, en als iets makkelijk gaat, dan maakt het al snel niet uit wat er met je gegevens gebeurt (zie Google Chrome).

OkselFris @mkools24 • 4 oktober 2014 00:36

De relatie iTunes en Apple pay slaat de plank een beetje mis. Voor iTunes wordt hij bewaart om je aankopen binnen iTunes te kunnen doen. Apple Pay is een dienst en doorgeefluik van je betalingen en daar is geen enkele reden om je gegevens vast te houden, want dan ook niet gebeurt.

Je kan je afvragen of het nieuws is. Maar mensen zijn toch in privacy geïnteresseerd en je ziet hier in de reacties toch vaak veel comments waar men probeert de beweren dat Apple nog erger dan welk bedrijf dan ook is en alles opslaat wat los of vast staat. Dan is dit artikel weer educatief. ;-)

gjmi @mkools24 • 3 oktober 2014 21:40

Je begrijpt het verkeerd.

Paypal slaat dus wel je creditcard gegevens op.
Apple slaat het niet op.

Als ze Paypal hacken kunnen ze die gegevens stelen. Als ze Apple hacken zijn die gegevens er niet, dus kunnen ze ook niet gestolen worden.

Dat is wel degelijk een verschil.

mkools24 @gjmi • 3 oktober 2014 21:51

En als ze de creditcardmaatschappij hacken hebben ze die gegevens alsnog. Of als ze het token misbruiken waarmee Apple verbinding maakt met de maatschappij.

En diezelfde gebruiker die Apple Pay gebruikt heeft waarschijnlijk al zijn creditcard info afgegeven bij iTunes of bij de Apple store. Apple heeft hoe dan ook zijn ccard nummer wel hoor, alleen Apple pay niet.

gjmi @mkools24 • 3 oktober 2014 22:30

die token kun je niet gebruiken op een ander apparaat.
En je heb in ieder geval niet nog een plek waar je creditcard gegevens bekend zijn, en zoals in het artikel staat werkt een man-in-the-middle attack ook niet.

Best wel veilig dus. Maar niets is 100% veilig, dat weten we allemaal. En als de creditmaatschappij gehackt word... Tja, daar jan Apple dan ook niets tegen verzinnen. Aan hun kant hebben ze het tenminste zo veilig mogelijk gemaakt, met in achtnemend van de gebruikte betaal methode

curumir @mkools24 • 4 oktober 2014 09:14

Apple heeft van een heleboel mensen inderdaad al een creditcard. Wellicht dat dit op termijn ook over gaat naar Apple Pay, dan hoeft dat niet meer. Lijkt me voor Apple alleen maar voordelig. Verder is het natuurlijk zo dat zeker in de VS mensen meerdere kaarten hebben, deze worden nooit opgeslagen bij Apple.

Je argument dat de creditcard maatschappij dan gehackt kan worden slaat werkelijk kant nog wal. Het zou toch een zeer groot voordeel zijn als je credit card uiteindeljk alleen maar op 1 plek bewaard wordt, namelijk bij degene die 'm verstrekt. En jijzelf natuurlijk. Dat is ook de reden waarom deze standaard (zie firstpost van ronaldmathies) bedacht is en Apple 'm gebruikt.

RebelwaClue @mkools24 • 3 oktober 2014 22:09

Die token is eenmalig en daarna nooit meer te gebruiken.

RebelwaClue @Verwijderd • 4 oktober 2014 13:38

Nope, het is gebaseerd op het Visa token systeem dat voor elke betaling een nieuwe token genereerd. Zodoende is deze token alleen geldig voor de betaling waar hij voor uit gegeven is en hebben hackers niks aan dit token.

Verwijderd @RebelwaClue • 6 oktober 2014 14:06

Bij een transactie via Apple Pay wordt het op de iPhone opgeslagen token naar de winkelier gestuurd, die het op zijn beurt doorstuurt naar de creditcardmaatschappij waar de originele creditcardgegevens worden achterhaald. Vervolgens wordt om autorisatie van de transactie gevraagd aan de bank die de creditcard heeft uitgegeven, waarna deze zijn goedkeuring doorgeeft aan de winkelier.

Dit suggereert anders dat een token wel degelijk meerdere keren gebruikt kan worden. Wat op zich ook wel logisch is, omdat als je voor elke transactie een nieuwe token moet aanvragen je ook elke keer opnieuw de credit card gegevens moet doorsturen. Bovendien, als het een eenmalig token is, waarom moet hij dan beveiligd worden opgeslagen? Meteen weggooien lijkt me dan beter.

RebelwaClue @Verwijderd • 6 oktober 2014 14:11

Providing an additional layer of security, an Apple Pay-equipped iPhone at the time of each transaction also sends a dynamically generated CVV up the chain along with a cryptogram. The CVV is the three-digit string located on the back of your credit card and, in the case of Apple Pay, is a algorithmically-generated dynamic string that's tied directly to the token. The cryptogram itself "uniquely identifies the device" that created the token and, according to the EMV Payment Spec, is likely composed of encrypted data sourced from the token, the device itself, and transaction data. Note, though, that the precise components of the Apple Pay cryptogram aren't publicly known.

Je hebt deels gelijk, de token verandert niet maar het gekoppelde ccv is wel random gegenereerd per transactie. Dus mocht je de transactie onderscheppen, kan je er alsnog niks mee.

mkools24 @Kalief • 3 oktober 2014 21:32

Gadver een preitaart wie gaat er dan ooit zoiets maken

Doe mij in dat geval dan toch maar een appletaart.

Dancing_Animal 3 oktober 2014 21:33

Link gevonden (vergeef me m'n edit skills op m'n iphone) http://m.youtube.com/watch?v=Bmm5faI_mLo
in het interview dat Tim Cook met Charlie Rose had maakte hij ook duidelijk dat Apple niet weet en het ook noet wil weten, wat jij waar koopt. De verkopende kant ziet trouwens ook niet hoe je heet en ziet ook je creditcard nummer niet. Een gedeelte hiervan werd inderdaad ook belicht bij de presentatie.

[Reactie gewijzigd door Dancing_Animal op 24 juli 2024 01:26]

MC Taz Man @Dancing_Animal • 3 oktober 2014 21:38

Is ergens ook wel gewoon logisch. Itt Google, is de core business van Apple niet informatie. Google is daar heel eerlijk in; "wij verzamelen en verkopen alle informatie die we maar kunnen krijgen". Niets mis mee. Erg duidelijk.

Apple daarentegen is een hard- en software bedrijf. Ze handelen niet in informatie, er is derhalve geen enkele reden om dit soort informatie op te slaan. Ik zou eerder verbaasd zijn als ze het wel deden (of blijken te doen).

Verwijderd @MC Taz Man • 3 oktober 2014 23:01

Google is daar heel eerlijk in; "wij verzamelen en verkopen alle informatie die we maar kunnen krijgen". Niets mis mee. Erg duidelijk.

Wel wat mis mee want het is gewoon niet waar. Google verkoopt geen informatie waar jij geen toestemming hebt gegeven. Ze verkopen er veel 'data' maar die is niet naar een persoon te herleiden. Inderdaad duidelijk maar niet zoals jij het zegt.

Ik daag je uit om mijn sessies met tweakers.net (die google heeft) te kopen. Ik verzeker je dat je daarin niet zal slagen. Mocht dat je wel lukken heb je het IT nieuws van het jaar.

Keypunchie

Apple
E-commerce
Betalingsverkeer

@Verwijderd • 3 oktober 2014 23:16

Je neemt het "verkopen" iets te letterlijk. Waar Google niet moeilijk en wat MC Taz Man waarschijnlijk bedoeld is dat ze hun geld verdienen met informatie van/over jou. Met een lelijk woord 'monetiseren' ze jouw gegevens.

Dit betekent niet per se dat ze jouw data 'as is' verkopen. Maar het is wel centraal in hun hele business model om zoveel mogelijk van jou te weten.

[Reactie gewijzigd door Keypunchie op 24 juli 2024 01:26]

MC Taz Man @Keypunchie • 3 oktober 2014 23:41

Dat dus

Verwijderd @Verwijderd • 4 oktober 2014 07:23

Dat het niet herleid kan worden tot een persoon moeten we maar geloven. Volgens mij is er geen onafhankelijke instantie die bedrijven daarop toetst.

Daarbij is de dataset van Google op zichzelf misschien niet herleidbaar maar met koppeling van andere datasets wellicht weer wel.

Jasper Janssen @Verwijderd • 4 oktober 2014 12:54

De dataset van google is absoluut grotendeels herleidbaar tot een persoon. Dat ze dingen doen als mac adressen en IPs niet opslaan doet daar niets aan af -- er is jaren geleden al een keer een "geanonimiseerde" dataset gelekt van search terms en gek genoeg bleken er in je search history ook best wel dingen voor te komen als je thuisadres en je naam en allerlei dingen over je medische geschiedenis etc.

Dancing_Animal @MC Taz Man • 3 oktober 2014 21:49

In een deel van het interview met Charlie Rose zegt Tim ook : we try not to collect data. Interview duurt iets van 75 minuten en is best interessant.
(volgens mij bevestig ik wat hierboven ook gezegd wordt, waarom dan omlaag modden en de reactie hieronder ook weer? Het is mijns inziens best on topic!)

[Reactie gewijzigd door Dancing_Animal op 24 juli 2024 01:26]

MC Taz Man @Dancing_Animal • 3 oktober 2014 21:50

Erg interessant idd. Ik heb beide delen al gezien

Verwijderd 4 oktober 2014 04:22

Is deze token systeem niet vergelijkbaar met hoe iDeal werkt? Zo ja, dan Is dit dus een beetje een inhaalslag van de amerikaanse banken en creditcard bedrijven. Die lopen zoiezo achter Nederland aan wat betreft creditcard beveiliging (gebruiken geen pincodes voor fysieke creditcard transacties, alleen handtekeningen). Volgens mij moeten alle merchants in Amerika volgend jaar overstappen naar nieuwe creditcard machines die chips op de pasjes moeten kunnen aflezen en waarschijnlijk zullen ze dan meteen de beste, future-proof apparaten kopen (lees: NFC). Trouwens wij lopen blijkbaar achter op Australie, die hebben NFC betaling met bankpasjes, creditcard en mobiele telefoons al een tijdje (wij maar net).

De timing van de Apple Pay introductie, zoals WSJ zegt, is eigenlijk perfect van Apple. Die kunnen goed meesnoepen aan deze verandering in de financiele markt in de VS, terwijl dat bedrijf Square zal genaaid worden denk ik (hun kleine creditcard lezer in headphone jack kan alleen de magneetstrip lezen).

JJ93 @Verwijderd • 4 oktober 2014 06:58

Yup betalen via NFC is standaard hier in Australië. Ik vind persoonlijk Tap to Pay erg handig. Voor bedragen onder de 50$ hoef je het pin apparaat slechts aan te tikken om te betalen en heb je geen pincode nodig. Erg snel dus, en geen last van mensen die meekijken tijdens het intoetsen van je pincode. Kan tegenwoordig geloof ik ook in Nederland, maar dat had mijn bankpasje van de ING in ieder geval nog niet.

Henk Poley 4 oktober 2014 17:42

Kan iemand overigens vertellen of Apple Pay ook beschikbaar komt de iPhone 5S? Die heeft weliswaar geen NFC, dus zal niet met betaal-terminals in winkels werken. Maar Apple Pay heeft ook een in-app component die middels de vingerafdruk-scanner werkt (TouchID).

[Reactie gewijzigd door Henk Poley op 24 juli 2024 01:26]

mutley69 @Henk Poley • 4 oktober 2014 20:33

Het is juist erg belangrijk dat apple die credietkaartdata niet heeft - en via die tokens werkt. Bovendien gebruiken ze een TPM-chip - die zij zelf wellicht ook niet kunnen uitlezen - die komt van een 3e partij.
Die touch-id met vingerafdruk beschouw ik persoonlijk als gevaarlijk - tenzij gecombineerd met pincode of iets anders qua beveiliging.
In itunes kan je je credietkaartdata perfect wissen - ik had een account nodig om op 't werk OS-X 10.9 te kunnen afladen, wel, heb mijn credietkaart asap er uit gehaald - en zal werken met die itunes-kaarten. Da's veel en veel veiliger. U kan zich best beschermen tegen uzelf.

computergek80 @Henk Poley • 5 oktober 2014 00:55

Ik geloof dat het de bedoeling is dat je het systeem ook kunt gebruiken voor betalingen via het internet. Dat zou dan de enige manier zijn met een iPhone 5s.
Weet iemand of dit klopt?

Verwijderd 5 oktober 2014 17:43

Dit is toch ook precies zoals ze het hebben aangekondigd? Ik zie er niks nieuws in.

Verwijderd @Vitruvius • 4 oktober 2014 10:55

Onzin natuurlijk, want de creditcard maatschappij kan dat spoor wel gewoon volgen. Het is gewoon netjes dat Apple het niet doet, want voor fraudedetectie hebben ze het niet nodig. En voor marketing doeleinden en/of 'verbetering van de dienstverlening' al helemaal niet.

Ik weet dus niet welke stok je zocht, maar deze slaat als een tang op een varken.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (63)

Sorteer op:

Weergave: