Czy mogę „sklonować” swoją kartę kredytową przy użyciu układu NFCus Nexus S i Galaxy Nexus? Jeśli nie, dlaczego nie?

15

Czy aplikacja na Androida może odczytać dane NFC mojej karty kredytowej, zapisać je, a następnie wysłać te dane do zbliżeniowego punktu płatności (PayPass)? Korzystam więc z mojego Nexusa, by wygodnie płacić za kawę.

Jeśli tak, czy jest na to aplikacja? Jeśli nie, dlaczego nie?

nfc William C.
źródło
2
Ciekawe pytanie .. :)
Android Quesito,
Nigdy nie myślałem o tym pytaniu. Co się stanie, jeśli powiedzmy, dane „reprezentujące” dane NFC zostaną zduplikowane lub czy są powiązane z identyfikatorem urządzenia w celu wygenerowania klucza szyfrowania? (Nie mam pojęcia, ponieważ wiele moich telefonów nie ma wbudowanego NFC), ale to dobre pytanie :) +1 ode mnie :)
t0mm13b

Odpowiedzi:

16

Nie możesz. Aby uprościć - płatności bezprzewodowe (NFC, chipy RFID na kartach itp.) Nie są prostą transakcją typu „jaki jest twój numer karty” (ponieważ byłoby to niepewne nie do uwierzenia), są one raczej „szyfrowaniem” tego bloku danych z twoimi tajnymi numerami i zwróć to.

Blok danych, które mają być zaszyfrowane, zmienia się dla każdej transakcji i nie ma (nie powinno być) sposobu, aby urządzenie wyrzuciło swoje tajne numery.

Więc nie możesz ŁATWO sklonować swoich kart na telefonie (jeśli możesz, to może to zrobić każdy, kto zbliżył się do Ciebie).

Nie oznacza to wcale, że nie da się tego zrobić (jeśli być może zauważyłeś błąd w działaniu krypto, możesz być może wydedukować tajne numery urządzenia), ale nie kupujesz tego aplikacja dla.

Michael Kohne
źródło
1
Tylko na marginesie do 2008 r. (W Wielkiej Brytanii) transakcje były typu „jaki jest twój numer karty” i możliwe było klonowanie kart chipowych. Klony działały tylko wtedy, gdy terminal w punkcie sprzedaży nie skontaktował się z bankiem w celu uwierzytelnienia karty.
Peanut
Nie jestem w pełni na bieżąco, ale ostatnio słyszałem (kiedyś w zeszłym roku), że nadal występują problemy z układem scalonym i stykowym ze względu na określone zachowanie rezerwowe terminali - jeśli nie mogą rozmawiać z układem, powróć do starszych zachowań, które niektórzy napastnicy mogli wykorzystać. Niestety jest to dość paskudny błąd na poziomie specyfikacji.
Michael Kohne
Tak, jeśli chip jest uszkodzony, terminal poprosi o transakcję paskiem mag, nawet w Wielkiej Brytanii, gdzie nie mieliśmy ich od lat. Można go całkowicie pozbyć, ale wydaje się, że banki nie mają nic przeciwko niewielkim poziomom oszustw, które mogą powodować.
Orzechowe
Ale co z normalnymi kartami RFID / NFC, takimi jak klucze do drzwi? czy można je skopiować i używać z telefonu?
Midhat
@Midhat - jeśli jest przeznaczony dla bezpieczeństwa, to nie będziesz w stanie łatwo go sklonować (chyba że sprzedawca był kompletną kupą kretynów). Zwykle urządzenia używane do bezpieczeństwa NIE są po prostu rzeczami „tutaj jest mój numer” - zawierają one pewne informacje wewnętrznie, a kiedy czytelnik pyta, robią coś i zwracają odpowiedź, aby uniknąć właśnie tego problemu. Nie oznacza to, że jest w 100% niezawodny, ale nie zamierzasz po prostu posadzić go w pobliżu telefonu i sklonować.
Michael Kohne,
6

Sprzęt NFC w Nexusie S i Galaxy Nexusie jest technicznie zdolny do emulacji znacznika NFC, takiego jak zbliżeniowa karta kredytowa. Dokładnie tak działa Portfel Google . Jednak klonowanie istniejącej karty nie jest możliwe z powodu sposobu działania procesu uwierzytelnienia między kartą a terminalem płatniczym (na podstawie tajnych kluczy kryptograficznych). Tak więc najprostszym sposobem na osiągnięcie tego, co chcesz, jest zainstalowanie Portfela Google na telefonie (jest on fabrycznie zainstalowany na Nexusie S 4G, w sieci dostępne są różne samouczki dotyczące zwykłego Nexusa S i Galaxy Nexusa) i doładowanie pieniędzy na karcie przedpłaconej Google i idź na kawę.

Facet z NFC
źródło
1
Jakieś alternatywy dla ludzi spoza USA? Portfel Google nie jest dostępny, a Android Pay nie działa, jeśli jest zrootowany i tak dalej.
kiradotee
4

Podczas gdy pozostałe dwie odpowiedzi są w zasadzie poprawne (nie można utworzyć pełnych klonów bieżących zbliżeniowych kart kredytowych), istnieją scenariusze ataku, które pozwalają na tworzenie ograniczonych klonów zbliżeniowych kart kredytowych opartych na EMV. W tym artykule opisano na przykład metodę klonowania kart MasterCard PayPass poprzez nadużycie luki spowodowanej wsteczną kompatybilnością kart PayPass z (kryptograficznie) słabym protokołem i niewystarczającym sprawdzaniem transakcji po stronie wydawcy karty. Podobnie w tym dokumencie opisano, jak nadużywać słabości terminali płatniczych w celu tworzenia ograniczonych kopii kart kredytowych opartych na EMV.

W połączeniu z nową funkcją emulacji karty opartej na hoście (HCE) w Androidzie 4.4 (lub funkcją emulacji karty opartej na hoście w CyanogenMod 9.1 i nowszych), możesz emulować wcześniej używaną kartę kredytową za pomocą telefonu. Należy jednak pamiętać, że obie metody klonowania są scenariuszami ataków i mogą prowadzić do poważnych problemów prawnych ;-) Co najmniej pierwszy atak szybko sprawi, że Twoja oryginalna karta kredytowa stanie się bezużyteczna z powodu opróżnienia licznika transakcji.

Michael Roland
źródło
-1

Tak, możesz, używając NFC Proxy na 2 jednostkach telefonu obsługującego NFC - jeden jako serwer proxy, a drugi jako serwer. ta aplikacja jest / była głównie dla badaczy bezpieczeństwa do audytu i testowania aplikacji bliskiego pola, które używają rfid, mifare itp. jako projektu open source, widzę pewne postępy dokonane przez społeczność, a programiści utrzymują projekt i aktualizują wiki aby nadążać za aktualnymi trendami technologicznymi lub aplikacyjnymi. Nadal się tym bawię i używam moich nexusów do badania potencjału, niezawodności i wulgaryzmów w codziennych aplikacjach, takich jak karty hotelowe lub w celu uruchomienia automatyzacji.

jeśli jednak planujesz używać karty debetowej / kredytowej, karty lojalnościowej / członkowskiej, a nawet kart ez-pass (do opłat drogowych / metra / autobusu) w swoim nexusie S, aplikacje takie jak portfel google, portfel kwadratowy i isis (aby nazwać kilka) powinno wystarczyć. Używałem PayPal, portfel Google i portfel kwadratowy zarówno do dokonywania, jak i otrzymywania płatności. gdy odpowiednio skonfigurowane, połączone i zweryfikowane aplikacje te mogą zastąpić zawartość portfela. jest ostry, nowoczesny i potężny, ale z wielką mocą wiąże się z wielką odpowiedzialnością, ponieważ te fantazyjne rzeczy stworzą słabe punkty lub słaby łańcuch dla twojego bezpieczeństwa i prywatności.

daj mi znać, jeśli ty też jesteś zainteresowany użyciem swojego nexusa S jako zestawu. Jest to tak interesujący element sprzętowy między NFC, OBD i SDR. Zawsze można odkryć coś nowego na tym starym urządzeniu.

harayz
źródło
2
Czy możesz wyjaśnić, jak korzystać z tej aplikacji, aby zrealizować prośbę OP? Odradza się udostępnianie tylko aplikacji bez żadnych kroków, ponieważ użytkownicy mogą nie wiedzieć, jak z niej korzystać (i mogą uszkodzić urządzenie). Przeczytałem również, że musisz użyć CyanogenMod, aby to zadziałało.
Andrew T.
już nie - możesz teraz używać innych ROM.
harayz,