把 iPhone 「碰一下支付」需要弹窗归因到「不积极本地化」是非常武断且愚蠢的.
支付宝碰一碰的底层原理是: 刷卡机本质上是一个动态的NFC标签(NDEF Tag), 写入了 URL(二维码)、安卓的启动包名、iOS App Clip 包名这三个核心字段, 等于说触发启动了安卓的支付宝, 而iOS 是先弹窗, 再启动「支付宝App Clip」, 然后 App Clip 调用支付宝完成支付, 过程中传递了 URL(二维码的核心数据)完成过支付.
而tag是非加密、没有身份验证的, 这就意味着可以被传输复制, 接着被重放到别人的手机. 且手机无法判断标签是被复制的.
换言之, 如果安卓机能做到读到 tag 即确认支付, 那就意味着会成为完美的重放对象, 我认为用这个功能实现安卓「免确认支付」属于滥用(即便默认只限制小额). 而 iOS 上 App Clip 虽然提示「打开」即继续支付, 但这个操作我个人觉得是有点滥用的.
当然支付宝肯定也限制了token的存活时间、基于用户行为的风控检测手段来避免盗刷. 但这就跟之前推扫脸一样, 底层上来说是基于一系列用户隐私数据来做安全, 虽然 用户协议说了这些, 但是普通人普遍都意识不到.
至于一天到晚拿门禁卡说事情就更加无知了, 模拟0扇区当ID卡, 这样做的结果就是会和其他 M1卡冲突(所以国产安卓会推荐设置地理围栏, 不然到外面刷公交会跳出门禁卡). 也因此iPhone的 M1 交通卡也能被注册为门禁卡, 间接解决了这个问题(不过换手机就要重新注册). 更不用说现在满大街的超薄 CUID 贴片, 塞在手机壳里就能用, 而且手机没电了也不影响.
而且复制卡片ID这个事情本身不合规, 存在法律风险, 毕竟我国有一条“破坏计算机信息系统”的口袋罪(隔壁香港还有“不诚实取用电脑”).
再来说用户体验的话, iPhone 不需要切卡就能直接出车卡、工卡、homekey 门卡、国内交联系M1卡、香港日本的F卡、海外信用卡的 NFA-A 卡, 并且在紧急电量下可用, NFC-A/F 的支付速度也吊打 M1 卡, 双离线支付更是吊打一众二维码/伪碰一碰.
安卓在这块的表现就是弟弟, 本质上让你复制门禁卡就是因为这些高级功能几乎没支持.
支付宝碰一碰的底层原理是: 刷卡机本质上是一个动态的NFC标签(NDEF Tag), 写入了 URL(二维码)、安卓的启动包名、iOS App Clip 包名这三个核心字段, 等于说触发启动了安卓的支付宝, 而iOS 是先弹窗, 再启动「支付宝App Clip」, 然后 App Clip 调用支付宝完成支付, 过程中传递了 URL(二维码的核心数据)完成过支付.
而tag是非加密、没有身份验证的, 这就意味着可以被传输复制, 接着被重放到别人的手机. 且手机无法判断标签是被复制的.
换言之, 如果安卓机能做到读到 tag 即确认支付, 那就意味着会成为完美的重放对象, 我认为用这个功能实现安卓「免确认支付」属于滥用(即便默认只限制小额). 而 iOS 上 App Clip 虽然提示「打开」即继续支付, 但这个操作我个人觉得是有点滥用的.
当然支付宝肯定也限制了token的存活时间、基于用户行为的风控检测手段来避免盗刷. 但这就跟之前推扫脸一样, 底层上来说是基于一系列用户隐私数据来做安全, 虽然 用户协议说了这些, 但是普通人普遍都意识不到.
至于一天到晚拿门禁卡说事情就更加无知了, 模拟0扇区当ID卡, 这样做的结果就是会和其他 M1卡冲突(所以国产安卓会推荐设置地理围栏, 不然到外面刷公交会跳出门禁卡). 也因此iPhone的 M1 交通卡也能被注册为门禁卡, 间接解决了这个问题(不过换手机就要重新注册). 更不用说现在满大街的超薄 CUID 贴片, 塞在手机壳里就能用, 而且手机没电了也不影响.
而且复制卡片ID这个事情本身不合规, 存在法律风险, 毕竟我国有一条“破坏计算机信息系统”的口袋罪(隔壁香港还有“不诚实取用电脑”).
再来说用户体验的话, iPhone 不需要切卡就能直接出车卡、工卡、homekey 门卡、国内交联系M1卡、香港日本的F卡、海外信用卡的 NFA-A 卡, 并且在紧急电量下可用, NFC-A/F 的支付速度也吊打 M1 卡, 双离线支付更是吊打一众二维码/伪碰一碰.
安卓在这块的表现就是弟弟, 本质上让你复制门禁卡就是因为这些高级功能几乎没支持.