Nie wiem jakie możliwości daje API od strony radia, moja karta nie ma NFC, więc bawiłem się jedynie interfejsem smartcardowym.

Jednak patrząc na to ile informacji udało mi się wydobyć bez podawania PINu w trybie kontaktowym, nie ufałbym tej technice.

Oprócz standardowych danych takich jak numery identyfikacyjne karty, konta, daty ważności, imiona z nazwiskiem (które pewnie bez przeszkód będą także dostępne przy standardowych requestach po radiu), były też dane pozwalające odtworzyć dane z paska magnetycznego, czy też historia ostatnich transakcji wraz z kwotami i czasami (choć trafiłem też raz na kartę która nie chciała mi tego podać).

O ile historia ostatnich transakcji i inne krytyczne dane nie są pewnie zawarte w standardzie transkacji contactless (choć patrząc na czysty standard EMV i buble w nim nie byłbym tego taki pewien), to też nie wykluczam jakiegoś rozszerzenia producenta w przypadku PayPass bądź PayWave, bądź też babola w firmware/hardware/protokole.

--
"Istnieje tylko 10 rodzajow ludzi:
Ci ktorzy rozumieją liczby binarne i ci którzy nie."
Łukasz Dudka aka illusion