Kontaktlösa betalningar med smarta telefoner / Contactless payments with smartphones

Kornberg Valentine, Philip, Alkuheli, Zaid

January 2021

Företaget Hajenterprise vill göra en forskning inom kommunikation för att hantera kontaktlösa betalningar för att kunna ta betalt kontaktlöst med hjälp av mobilen. Idag används bankkort för att betala för de flesta saker. Nya betalningssätt har rört sig mot kontaktlösa köp med hjälp av smarta telefoner och NFC-teknologier. Smarta telefoner har börjat användas mer och mer i kontaktlösa köp mot point of sale (POS) terminaler. Skulle det då gå att kunna ta bort POS-terminaler och använda smarta telefoner som POS-terminaler? För att besvara detta behövdes tester utföras för att se ifall en smart telefon skulle kunna läsa ett bankkort och behandla bankkortets information. Bankkort kunde läsas av de smarta telefonerna men informationen från bankkortet kunde inte användas av den smarta telefonen för att genomföra en betalning. Detta var eftersom beroende på telefon, öppnades Samsung, Google eller Apple pay. En smart telefon kunde alltså ta emot information från ett bankkort men telefonen kunde inte använda den information för att utföra en betalning på en terminal. Utöver forskningen av olika betalningssätt, skapades en applikation där betalning skulle kunna utföras från en mobil till en annan mobil. Detta skulle ske med hjälp av Near Field Communication (NFC) och blockchain, eftersom Hajenterprise vill ha en prototyp-applikation som skulle kunna betala och ta betalt över NFC mot deras blockchain. JavaScript användes för att skapa en react native applikation som kunde fungera på både Android och iOS. Detta lade grunden så att Hajenterprise kunde använda sitt blockchain-api för mobila betalningar. / The company Hajenterprise wanted to research the area of contactless payments to see if it’s possible to Pay contactless with a mobile phone. Today bank cards are used to pay for most things. New payment methods have moved toward contactless purchases using smart phones and NFC-technologies. Smart phones have begun to be used more and more in contactless purchases at point of sale (POS) terminals. The possibility to remove POS-terminals and use smartphones instead as POS-terminals could make it easier and faster to pay. To test this, several tests were needed to see if a smartphone could read a bank card and process the card's information. Bank cards could be read by the smartphone but the information from the bank card could not be used by the smartphone to make a payment. This was because depending on the phone, Samsung, Google or Apple Pay was opened. Thus, a smart phone could receive information from a card but the phone could not use that information to make a payment at a terminal. In addition, an application was created where one could make payments from one mobile to another mobile. This would be done using Near Field Communication (NFC) and blockchain, as Hajenterprise wanted a prototype-application that could pay and charge over NFC against their blockchain. JavaScript was used to create a react native application that could work on both Android and iOS. This laid the foundation for Hajenterprise to use its blockchain API for mobile payments.

Point Of Sale (POS)

Near Field Communication (NFC)

JavaScript

Contactless payments

Europay

Visa and Mastercard(EMV)

React native

Blockchain

Android

Point Of Sale (POS)

Near Field Communication (NFC)

JavaScript

Android

Kontaktlösa köp

Europay

Visa and Mastercard (EMV)

React native

Blockchain

Software Engineering

Programvaruteknik

Jämförande analys av kontaktlösa betalningar med bankkort och smarttelefon ur ett säkerhetsperspektiv / Comparative analysis of contactless payment with cards and smartphones from a security perspective

Holmberg Tvingstedt, Tove

January 2022

Att betala med kort är idag standardiserat, men något som också är väldigt vanligt är att betala kontaktlöst. Detta kan göras både med ett kontaktlöst kort eller med en smarttelefon. Teknologin som möjliggör detta är närfältskommunikation. Examensarbetet undersöker hur säkerheten i dessa betalningsmetoder är uppbyggd, vad det finns för säkerhetsproblem samt hur användningen kan se ut i framtiden. Den primära frågeställningen var att undersöka om det är lika säkert eller till och med säkrare att använda en smarttelefon för kontaktlösa betalningar jämfört med ett kontaktlöst kort. För att undersöka detta, gjordes en omfattande litteraturstudie och en enkätundersökning. Resultatet av examensarbetet visade på att det fanns olika typer av hot och sårbarheter som exempelvis avlyssning, modifikation och korruption av data, reläattacker, skadlig applikation och programvara, svag autentisering och manipulation av applikationer. Det fanns även flertalet aspekter som påverkade hur väl dessa hot kunde utföras, bland annat tokenisering, kryptering men även det korta avståndet som krävs och social ingenjörskonst. Det upptäcktes även att attackytan skiljde sig mellan metoderna. Smarttelefonen hade flertalet hot och sårbarheter som ofta baseras på att det finns ett användargränssnitt, att enheten har ett annat användningsområde, och exempelvis skadlig programvara och ”rootade” enheter. När en enhet är ”rootad” betyder det att användaren får en annan typ av åtkomstkontroll. Enkätundersökningen visade att ungefär hälften av deltagarna kan tänka sig använda smarttelefonen i framtiden för att utföra kontaktlösa betalningar. / To pay with a card is standardized today, but something that is also very common is to pay contactless. This is possible to do with a contactless card or with a smartphone. The technology that makes this possible is Near Field Communication. This thesis examines how the security in these payment methods is structured, which security issues exists but also how the use may look in the future. The thesis also includes to investigate if it is as safe or even safer to use a smartphone for contactless payments compared to a contactless card. To investigate this, an extensive literature study and a questionnaire survey was conducted. The results of the thesis showed that there were different types of threats and vulnerabilities such as eavesdropping, data modification, data corruption, relay-attacks but also malicious application and software, weak authentication, and manipulation of applications. However, there were also several aspects that affected how well these threats could be carried out, including tokenization, encryption but also the short distance required and social engineering. It was also discovered that the attack surface differed between the two methods. The smartphone had several threats and vulnerabilities many of them existed since there is a user interface, and that the device is used in other ways. For example, malware and “rooted” devices, when a device is “rooted” it means that the user gets another type of access control for the device. The survey showed that about half of the participants may be willing to use a smartphone in the future to make contactless payments.

Contactless payment

NFC

Near Field Communication

EMV (Europay

Visa

Mastercard) chip

NFC payment

payment security

NFC security

Kontaktlös betalning

Near Field Communication (NFC)

närfältskommunikation EMV (Europay

Visa

Mastercard) chip

NFC-betalning

betalningssäkerhet

NFC- säkerhet

Engineering and Technology

Teknik och teknologier