Чи безпечна Apple Pay на Apple Watch, якщо iPhone Jailbroken?

10

Коли Jailbreak стане доступним для iOS 10.2, мені цікаво його встановити.

Оскільки я використовую Apple Pay (лише на годиннику), я хотів би знати, що мої платіжні дані є безпечними. Оскільки ви можете бачити інформацію про свою кредитну картку в додатку Apple Watch на iOS, це означає, що дані синхронізуються на обох пристроях.

З огляду на те, що дані, що знаходяться на годиннику та телефоні, чи дозволять хакеру отримати дані про мою карту? Якщо так, то чи просто це будуть останні чотири цифри та мій провайдер банку чи всі реквізити?

data-synchronization  security  jailbreak  apple-watch  apple-pay 
iProgram
джерело
3
Ви наражаєте себе на більшу небезпеку на пристрої, що перебуває у в'язниці.
CJ Dana
Чому ви хочете втечу з в'язниці? І так, все на вашому годиннику також є на вашому телефоні.
Тайсон
3
Чудове запитання. Я сподіваюся, що ми зможемо отримати хороші відповіді для вас.
bmike
@Tyson Мені цікаво це зробити, щоб побачити, чи є ще сенс робити це зараз, а також просто побачити, що ти можеш зробити до цього. Я звик до джейлбрейка <= iOS 6 і невеликий шматочок на iOS 7. Я не робив цього довго, оскільки виявив, що телефон нестабільний. Хочете побачити, чи вразливість до в'язниці зараз стабільніша.
iProgram
Лише зауваження, щоб повідомити, що я оновив свою відповідь, щоб прямо відповісти на ваше питання / ситуацію.
Мономет

Відповіді:

7

[EDIT] - Ця редакція переглядає мою відповідь на:

  • більш конкретно відповісти на питання ОП щодо їх точного сценарію
  • зменшити неоднозначність, зробивши чіткішими деталі моєї відповіді, які мали більш загальний характер

1. Відповідь на точне питання / сценарій ОП

Так, ваші платіжні дані є на 100% безпечними , оскільки ви вже налаштували Apple Pay на своїх пристроях, перш ніж робити втечу з в'язниці в майбутньому. Це відбувається тому, що дані вашої картки не зберігаються на пристрої. Іншими словами, оскільки дані не є на пристрої для початку, немає ризику отримати доступ до нього з вашого iPhone, навіть після джейлбрейка. Інформація просто не існує для крадіжки!

2. Власні слова Apple про повторне шифрування та захист даних на пристроях, що перебувають у вбивці

За даними Apple

Безпечний ланцюг завантаження, підписання коду та безпека процесу виконання - все це допомагає гарантувати, що на пристрої можуть працювати лише надійні код та програми. iOS має додаткові функції шифрування та захисту даних для захисту даних користувачів, навіть у випадках, коли інші частини інфраструктури безпеки були порушені (наприклад, на пристрої з несанкціонованими модифікаціями) . Це забезпечує важливі переваги як для користувачів, так і для ІТ-адміністраторів, захищаючи особисту та корпоративну інформацію у будь-який час та надаючи методи для миттєвого та повного видалення в разі крадіжки чи втрати пристрою.

Джерело: Біла книга щодо безпеки iOS від Apple, 2014, стор. ПРИМІТКА: Сміливий акцент мій, а не Apple.

Як бачите, за даними Apple, навіть ушкодження пристрою не може призвести до того, що недовірений код або додатки зможуть отримати доступ до певних областей, наприклад, безпечного анклаву.

Більш конкретно, Apple заявляє:

Безпечний анклав - це співпроцесор, виготовлений у чіпі Apple A7. Він використовує власне захищене завантаження та персональне оновлення програмного забезпечення окремо від процесора додатків. Він також забезпечує всі криптографічні операції для управління ключами захисту даних та підтримує цілісність захисту даних, навіть якщо ядро ​​було порушено .

Джерело: Біла книга щодо безпеки iOS від Apple, 2014, p5. ПРИМІТКА: Сміливий акцент мій, а не Apple.

Безпечний анклав є частиною процесорів Apple A7 та пізніших процесорів. Цей анклав задокументований у патентній заявці Apple 20130308838, а також має власну ОС під назвою SEP OS.

Отже, на думку Apple, ваші дані є безпечними.

3. Загальна інформація про Apple Pay та безпеку

Найкращий спосіб ввести дані вашої картки під час налаштування Apple Pay - це використовувати камеру вашого iPhone. Це відбувається тому, що це означає, що інформація вашої картки ніколи не зберігається на пристрої та не зберігається у бібліотеці фотографій. Іншими словами, оскільки дані не є на пристрої для початку, немає ризику отримати доступ до них з вашого iPhone.

Після налаштування свого пристрою для Apple Pay ваш банк (або фінансова установа) створює номер облікового запису на пристрої (DAN), який є унікальним для вашого пристрою і шифрується та надсилається Apple, щоб вони могли додати його до того, що називається безпечним Елемент на вашому пристрої. Цей елемент повністю ізольований від iOS та watchOS , ніколи не зберігається на серверах Apple , а також не створюється резервна копія на iCloud.

Важливо також зазначити, що DAN ніколи насправді не розшифровується Apple, вони просто виконують дію розміщення його на вашому пристрої в зашифрованому вигляді.

Якщо вам доведеться вручну ввести інформацію про свою картку (тобто замість використання камери iPhone), ця інформація також шифрується та надсилається на сервери Apple. Оскільки інформація зберігається на вашому iPhone перед шифруванням, теоретично можливо, що третя сторона могла б це ввійти, але ризик цього трапиться на пристрої, що не перебуває у в'язниці, становить 0%, оскільки дані (тобто дані вашої картки):

  • зберігається в зашифрованій пам'яті
  • зберігається лише дуже короткий період (максимум кілька секунд)
  • захищено обертанням ключа AES з обох сторін, надаючи випадковий ключ, який встановлює ключ сеансу та використовує транспортне шифрування AES-CCM .

Підсумовуючи це, я не думаю, що цілком можливо на 100% гарантувати, що хакер ніколи не зможе отримати дані вашої картки, але насправді ризик цього трапляється насправді через те, що хакер порушив систему вашого банку, а не ваш iPhone.

4. Подальше читання:

Мономет
джерело
Якщо телефон порушений, будь-яка сфотографувана картка може бути надіслана зловмисним сторонам так само, як і будь-яка набрана інформація CC. Це все до того, як Apple Pay навіть буде налаштовано або будь-який банк створить DAN.
Константіно Царухас
Насправді камера не використовується для фотографування карти, вона використовується для розпізнавання буквено-цифрових символів у різних "полях" картки. Однак, перечитавши свою відповідь, я вважаю, що мені слід переглянути її, щоб усунути будь-яку ненавмисну ​​неоднозначність у своїй відповіді. Реальність полягає в тому, що ризик вкрай низький ( майже неможливо, але не неможливо) незалежно від того, пристрій перервано у в'язниці чи ні. Свою відповідь я оновлю пізніше сьогодні, коли мені випала можливість викопати білий папір Apple, який висвітлює цю тему, тому я можу цитувати його безпосередньо. Дякуємо за Ваш коментар! :)
Мономет
Я також мав на увазі фотографії, зроблені шкідливим програмним забезпеченням. Ніщо не заважає запускати привілейоване програмне забезпечення для кореневих фотографій, а налаштування Apple Pay просто розпізнає. Але це зловмисне програмне забезпечення для вас. ;-)
Константіно Царухас
@RandyMarsh Просто зауваження, щоб повідомити, що я оновив свою відповідь, щоб надати більш детальну інформацію / джерела та зменшити будь-яку неоднозначність у моїй редакції.
Мономет
Дякуємо, що надали оновлену версію цієї інформації. Чому iOS показує останні чотири цифри та банківського провайдера, які у мене є, навіть якщо він зберігається на моєму годиннику, а не в телефоні? Чи не означає це, що якась інформація передається з одного пристрою на інший, що призводить до того, що людина перебуває в атаці посередині?
iProgram
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.