Czy Apple Pay na Apple Watch jest bezpieczny, jeśli iPhone Jailbroken?

10

Kiedy / jeśli Jailbreak stanie się dostępny dla iOS 10.2, jestem zainteresowany jego instalacją.

Ponieważ korzystam z usługi Apple Pay (tylko na zegarku), chcę wiedzieć, że moje dane dotyczące płatności są bezpieczne. Ponieważ informacje o karcie kredytowej możesz zobaczyć w aplikacji Apple Watch na iOS, oznacza to, że dane są synchronizowane na obu urządzeniach.

Czy w związku z tym, że dane znajdują się w zegarku i telefonie, haker mógłby uzyskać dane mojej karty? Jeśli tak, to czy będą to tylko cztery ostatnie cyfry i mój dostawca banku lub wszystkie szczegóły?

data-synchronization security jailbreak apple-watch apple-pay iProgram
źródło
3
Narażasz się na większe ryzyko związane z urządzeniem z jailbreakiem.
CJ Dana,
Dlaczego chcesz jailbreak? I tak, wszystko na zegarku jest również w telefonie.
Tyson,
3
Świetne pytanie. Mam nadzieję, że możemy uzyskać dla ciebie dobre odpowiedzi.
bmike
@Tyson Jestem zainteresowany zrobieniem tego, aby sprawdzić, czy nadal jest sens robić to teraz, a także, aby zobaczyć, co możesz z tym zrobić. Kiedyś jailbreak <= iOS 6 i trochę na iOS 7. Nie robiłem tego przez długi czas, odkąd mój telefon był niestabilny. Chcesz sprawdzić, czy jailbreaking jest teraz bardziej stabilny.
iProgram,
Tylko notatkę informującą, że zaktualizowałem moją odpowiedź, aby bardziej bezpośrednio odpowiadać na twoje pytanie / sytuację.
Monomeeth

Odpowiedzi:

7

[EDYCJA] - Ta edycja poprawia moją odpowiedź na:

  • dokładniej odpowiedz na pytanie PO dotyczące ich dokładnego scenariusza
  • zmniejszyć dwuznaczność, wyjaśniając części mojej odpowiedzi, które miały bardziej ogólny charakter

1. Odpowiedz na dokładne pytanie / scenariusz PO

Tak, szczegóły płatności są w 100% bezpieczne , ponieważ skonfigurowałeś już Apple Pay na swoich urządzeniach przed zrobieniem jailbreaku w przyszłości. Wynika to z faktu, że informacje o karcie nie są zapisywane w urządzeniu. Innymi słowy, ponieważ dane nie znajdują się na urządzeniu na początku, nie ma ryzyka, że ​​będą one dostępne z twojego iPhone'a, nawet po zrobieniu jailbreaku. Informacje po prostu nie są po to, aby ukraść!

2. Własne słowa Apple dotyczące szyfrowania i ochrony danych na urządzeniach z jailbreakiem

Według Apple

Bezpieczny łańcuch rozruchowy, podpisywanie kodu i bezpieczeństwo procesu wykonawczego pomagają zapewnić, że tylko zaufany kod i aplikacje mogą działać na urządzeniu. iOS ma dodatkowe funkcje szyfrowania i ochrony danych w celu ochrony danych użytkownika, nawet w przypadkach, gdy zostały naruszone inne elementy infrastruktury bezpieczeństwa (na przykład na urządzeniu z nieautoryzowanymi modyfikacjami) . Zapewnia to ważne korzyści zarówno użytkownikom, jak i administratorom IT, chroniąc dane osobowe i korporacyjne przez cały czas oraz zapewniając metody natychmiastowego i pełnego zdalnego czyszczenia w przypadku kradzieży lub utraty urządzenia.

Źródło: biała księga Apple na temat bezpieczeństwa iOS, 2014, s. 8. UWAGA: Odważne podkreślenie moje, nie Apple.

Jak widać, według Apple nawet złamanie zabezpieczenia urządzenia nie spowoduje, że niezaufany kod lub aplikacje będą mogły uzyskać dostęp do niektórych obszarów, takich jak Bezpieczna Enklawa.

Mówiąc dokładniej, Apple stwierdza:

Secure Enclave to koprocesor wykonany w układzie Apple A7. Wykorzystuje własny bezpieczny rozruch i spersonalizowaną aktualizację oprogramowania, niezależną od procesora aplikacji. Zapewnia również wszystkie operacje kryptograficzne do zarządzania kluczami Ochrony danych i zachowuje integralność Ochrony danych, nawet jeśli jądro zostało naruszone .

Źródło: biała księga Apple na temat bezpieczeństwa iOS, 2014, s. 5. UWAGA: Odważne podkreślenie moje, nie Apple.

Bezpieczna enklawa jest częścią procesorów Apple A7 i nowszych. Enklawa ta jest udokumentowana w zgłoszeniu patentowym Apple 20130308838, a także ma własny system operacyjny o nazwie SEP OS.

Według Apple dane są bezpieczne.

3. Ogólne informacje o Apple Pay i bezpieczeństwie

Najlepszym sposobem na wprowadzenie informacji o karcie podczas konfigurowania Apple Pay jest użycie aparatu iPhone'a. Wynika to z tego, że informacje o karcie nigdy nie są zapisywane na urządzeniu ani przechowywane w bibliotece zdjęć. Innymi słowy, ponieważ na początku danych nie ma w urządzeniu, nie ma ryzyka, że ​​będą one dostępne z twojego iPhone'a.

Po skonfigurowaniu urządzenia do usługi Apple Pay Twój bank (lub instytucja finansowa) tworzy numer konta urządzenia (DAN), który jest unikalny dla Twojego urządzenia i jest szyfrowany i wysyłany do Apple, aby mogli dodać go do tak zwanego Bezpiecznego Element na twoim urządzeniu. Ten element jest całkowicie odizolowany od iOS i watchOS , nigdy nie jest przechowywany na serwerach Apple ani nie jest tworzony w kopii zapasowej na iCloud.

Ważne jest również, aby pamiętać, że DAN nigdy nie jest odszyfrowywany przez Apple, po prostu wykonują akcję umieszczania go na urządzeniu w postaci zaszyfrowanej.

Jeśli musisz ręcznie wprowadzić informacje o karcie (tj. Zamiast korzystać z aparatu iPhone'a), informacje te są również szyfrowane i wysyłane na serwery Apple. Ponieważ informacje są przechowywane w telefonie iPhone przed zaszyfrowaniem, teoretycznie możliwe jest, że strona trzecia może to zarejestrować, ale ryzyko, że dzieje się to na urządzeniu, które nie zostało uszkodzone, wynosi 0%, ponieważ dane (tj. Informacje o karcie):

  • jest przechowywany w zaszyfrowanej pamięci
  • przechowywane tylko przez bardzo krótki okres (najwyżej kilka sekund)
  • jest chroniony przez zawijanie klucza AES , przy czym obie strony zapewniają losowy klucz, który ustanawia klucz sesji i wykorzystuje szyfrowanie transportowe AES-CCM .

Podsumowując, nie sądzę, aby można było absolutnie w 100% zagwarantować, że haker nigdy nie będzie mógł odzyskać danych karty, ale w rzeczywistości ryzyko takiego zdarzenia sprowadza się do hakera naruszającego systemy banku, a nie z iPhone'a.

4. Dalsza lektura:

Monomeeth
źródło
Jeśli telefon zostanie naruszony, każdą sfotografowaną kartę można wysłać do złośliwych stron, tak jak można wysłać dowolne wpisane informacje CC. To wszystko przed założeniem Apple Pay lub utworzeniem DAN przez dowolny bank.
Constantino Tsarouhas,
W rzeczywistości aparat nie jest używany do fotografowania karty, służy do rozpoznawania znaków alfanumerycznych w różnych „polach” karty. Jednak po ponownym przeczytaniu mojej odpowiedzi uważam, że powinienem ją zmienić, aby usunąć wszelkie niezamierzone niejednoznaczności w mojej odpowiedzi. W rzeczywistości ryzyko jest bardzo niskie ( prawie niemożliwe, ale nie niemożliwe) niezależnie od tego, czy urządzenie jest zepsute, czy nie. Zaktualizuję swoją odpowiedź dzisiaj, kiedy będę miał okazję wykopać białą księgę Apple, która omawia ten temat, więc mogę cytować bezpośrednio z niej. Dzięki za komentarz! :)
Monomeeth
Miałem również na myśli zdjęcia wykonane przez złośliwe oprogramowanie. Nic nie stoi na przeszkodzie, aby uruchomić oprogramowanie uprzywilejowane jako root, aby podstępnie robić zdjęcia, a konfiguracja Apple Pay po prostu rozpoznaje. Ale to złośliwe oprogramowanie dla ciebie. ;-)
Constantino Tsarouhas
@RandyMarsh Tylko uwaga, aby poinformować, że zaktualizowałem moją odpowiedź, aby zapewnić bardziej szczegółowe informacje / źródła i zmniejszyć wszelkie niejednoznaczności w moim brzmieniu.
Monomeeth
Dziękujemy za przesłanie zaktualizowanej wersji tych informacji. Dlaczego iOS pokazuje ostatnie cztery cyfry i operatora banku, który mam, mimo że jest przechowywany na zegarku, a nie na telefonie? Czy nie oznacza to, że niektóre informacje są przenoszone z jednego urządzenia na drugie, co prowadzi do ataku człowieka w środku?
iProgram