NFC. Дотяну свои руки и до этой технологии. Тем более, что MasterCard Contactless (или, и проще говоря, PayPass'ом) я пользуюсь давно.
Если вам лень читать то: ApplePay очень безопасен, а карты не очень.
Теперь долгая версия:
Базовой технологией, используемой для всех *Pass механизмов, является NFC - сеть точка-точка близкой дистанции.
Что тут важно отметить:
1. Дистанция, на которой активному приемнику и передатчику хватит мощности для передачи составляет около 20 сантиметров и пару-тройку сантиметров для простых карт оплаты (или любых RFID меток без доп. питания)
2. Сеть, что устанавливает NFC (в отличие от Bluetooth), рассчитана на двоих. Вклинится, просто так - третьим - не выйдет.
3. Установка контакта происходит мгновенно, и на любые ошибки или помехи, сеть реагирует плохо - прерывая передачу.
4. Сеть дуплексная, т.е. одновременно передает информацию в обе стороны, что даёт дополнительный контроль данных, нельзя просто так взять и «подмешать» своих пакетов с другими данными.
5. И последнее, она оооочень медленная. Максимум 400кбот с хвостиком (у синезуба второй версии в 50 раз больше), т.е. для подмешивания или считывания данных карты - нужно потратить время, которого при перехвате у злоумышленника просто нет.
Теперь кратко и по-простому как работает банковская механика и механика оплаты:
1. Для каждой карты в чип записывается три 112 битных ключа. Во время оплаты карта генерирует одноразовый код транзакции на основании этих чисел и своих (имя владельца, сроки годности и т.д.) реквизитов.
2. Банк, получая такую транзакцию, замораживает сумму операции на срок до трех дней (или на любой, вплоть до отмены и блокировки карты, зависит от реакции системы антифрод) и только потом списывает.
3. Если ранее уже были подобные оплаты - списание пройдет быстрее.
4. Если одноразовый код придет еще раз - обе транзакции замораживаются, карта блокируется.
5. Если придет не тот код, что ожидает банк (с пропуском одного или серии ожидаемых кодов) - операции блокируются и ставятся на контроль (про блок карты в этом случае не известно).
Т.е. подводя итог: можно скопировать одноразовый код от карточки, создать на его основе одноразовую карту с магнитной полосой и провести транзакцию. Если за три-четыре дня оригинальная карта не произведёт оплату с использованием этого же кода - деньги будут обработаны и переведены. Очень сложно реализуемый, но возможный сценарий.
Теперь про Apple. Подробные технические характеристики чипов используемых у яблочных девайсов, ожидаемо, неизвестны, но зная последних, предположу, что там все строго по стандарту, т.е. 20 см, три числа по 112 бит и т.д.
Что же у Apple лучше с точки зрения безопасности?
1. Любая транзакция всегда явно подтверждается владельцем, ч.з. Face/Toch ID или пароль.
2. После любой транзакции на экране видно уведомление с деталями платежа
3. Из интерфейса Wallet видны все транзакции и есть ссылки для быстрого обращения в банк.
Т.е. переводя на русский: перехват данных ооочень сильно затруднён, информация о платеже не пройдёт мимо пользователя и он всегда может обратиться в банк и прервать транзакцию.
Stay connected. Pay over Pass.