03 сентября 2020, 18:07

Оплатить счет в кафе теперь можно голосом. Рисков пока больше, чем плюсов

Читать 360tv в

Теперь оплачивать счет в кафе и ресторанах можно с помощью голосового помощника Алиса. Новые навыки Алисе дала Visa. Но вопрос в том, будет ли такой метод оплаты безопасным.

Visa запустила новую форму оплаты заказов в кафе и ресторанах. Сервис разработан на платформе «Яндекс.Диалог», сообщил «360» PR-менеджер Алисы Богдан Петренко. По его словам, проект привлек внимание компаний Visa и Bartello, которые увидели в нем потенциал для решения своих задач и подготовили навык, чтобы оплачивать чеки по голосу.

Реклама

Теперь Алиса от «Яндекса» будет по голосу списывать деньги — при произнесении кодового слова, которое придумает владелец карты, сообщил РБК со ссылкой на пресс-службу Visa.

Технология позволяет бесконтактно заказывать еду и напитки в ресторанах, оплачивать их и оставлять чаевые не дожидаясь официанта.

Чтобы воспользоваться таким способом оплаты, держатели карт Visa должны попросить Алису на смартфоне или планшете вызвать опцию Bartello. Помощник спросит, в каком заведении находится клиент и что он хочет заказать. Потом Алиса примет заказ, который начнут готовить.

Чтобы оплатить счет, на экране гаджета откроется защищенная страница. При первом использовании нужно будет ввести данные карты, которую Алиса запомнит. Она попросит придумать кодовое слово, с помощью которого в дальнейшем будет подтверждаться платеж. Пока новая технология работает в 32 кафе и ресторанах Москвы. Позднее список расширится до 86.

По словам партнера технологической практики KPMG в России и СНГ Оксаны Борисовой, голосовые помощники развиваются в России довольно быстро, а число россиян, которые хотя бы раз в месяц прибегают к услугам голосовых ассистентов, превышает 50 миллионов.

Голосовой пин-код

Специалист по информационной и компьютерной безопасности Сергей Вакулин по просьбе «360» оценил риски такого способа оплаты и привел примеры. Вакулин предположил, что во время произнесения кодового слова разговор может записываться — это самый простой вариант, чтобы узнать голосовой пин-код. Допустим, от такого сценария может спасти «интеллект» голосового помощника, который определяет владельца по тембру.

Даже в той идее есть прореха: человек напрямую не скажет кодовое слово для Алисы, но кто-то может соединить отдельно сказанные буквы или части других слов, чтобы в итоге получить нужный пин-код.

Вакулин предположил, что есть и технические проблемы в сокрытии кода в таком формате оплаты. Например, человек находится в заведении, где есть общественный Wi-Fi. Он что-то закажет через Алису, скажет кодовое слово, а владелец самой Wi-Fi-сети узнает этот набор букв, перехватив пакет, так как он имеет к ней доступ.

Я не увидел у Алисы, как есть в Telegram, локальный пароль, который придумывает сам пользователь. Локальный пароль хранится в зашифрованном виде на устройстве телефона, он не синхронизируется с серверами компании. У «Яндекса» такого нет, в Алису можно зайти спокойно

Сергей Вакулин.

Недостаточная безопасность

Специалисты Visа указали, что технология оплаты с Алисой не связана с биометрией — то есть там нет ввода кода с помощью отпечатка пальца, снимка лица. Доцент кафедры телекоммуникационных систем НИУ МИЭТ Александр Шарамок поделился с «360», что если в способе оплаты от Visa нет биометрии, то он бы не стал пользоваться такой системой, потому что кодовое слово — не самый надежный способ защиты.

«Зачастую в гонке за инновациями и захватом рынка, как правило, первоначальной реализации механизмов безопасности не уделяют должного внимания. Считают, что так будет достаточно или „сделаем потом“. Делают потом, когда уже возникают серьезные проблемы», — сказал Шарамок.

Однако если изначально все риски предусмотрят и сделают эффективную систему безопасности, то проблем не возникнет. По мнению эксперта, биометрия должна присутствовать в любом случае. То есть голосовой пин-код должен сочетаться с другими технологиями.

Мошенники в любом случае найдут способ влезть в чужой телефон, ведь чем больше функционала и вариаций использования платежных систем, тем больше поле для обмана. Полностью защититься от злоумышленников просто невозможно.

100% защитить [данные] нельзя. 100% — это ничего не делать, никуда не ходить, не иметь денег, ничем не расплачиваться

Александр Шарамок.

Собеседник «360» подчеркнул, что даже биометрия не так безопасна, как кажется, потому что может сбоить. Дело в том, что разработчики могут завысить так называемую достоверность аутентификации, что приведет к тому, что истинный пользователь будет слишком часто получать отказы в положительной аутентификации.

Реклама

Реклама