Posso "clonare" la mia carta di credito utilizzando il chip NFC Nexus S e Galaxy Nexus? In caso contrario, perché no?

15

Un'app Android può leggere i dati NFC della mia carta di credito, archiviarli e quindi inviarli a un punto di pagamento senza contatto (PayPass)? Quindi userei il mio Nexus per pagare comodamente il mio caffè.

Se sì, esiste un'app per questo? In caso contrario, perché no?

nfc 
William C.
fonte
2
Domanda interessante .. :)
Android Quesito,
Non ho mai pensato a quella domanda. Cosa succede, se si dice, i dati che "rappresentano" i dati nfc vengono duplicati o sono legati all'ID del dispositivo per generare una chiave di crittografia? (Non ho idea di come molti dei miei portatili non abbiano NFC incorporato), Tuttavia, questa è una buona domanda :) +1 da parte mia :)
t0mm13b,

Risposte:

16

No, non puoi. Semplificazione eccessiva: i pagamenti wireless (NFC, chip RFID su carte, ecc.) Non sono una semplice transazione "qual è il tuo numero di carta" (perché sarebbe insicuro oltre ogni immaginazione), sono più un "qui", crittografano questo blocco di dati con i tuoi numeri segreti e restituiscilo 'tipo di cosa.

Il blocco di dati da crittografare cambia per ogni transazione e non c'è (presumibilmente) alcun modo per far sì che il dispositivo sputi i suoi numeri segreti.

Quindi non puoi FACILMENTE clonare le tue carte sul tuo telefono (se potessi, allora potrebbe farlo chiunque altro ti abbia camminato vicino).

Questo non vuol dire che non si possa fare affatto (se, forse, hai trovato un difetto nel modo in cui funziona la crittografia, potresti forse dedurre i numeri segreti di un dispositivo), ma non è qualcosa che stai per acquistare un'app per.

Michael Kohne
fonte
1
Solo su una nota a margine fino al 2008 (ish, nel Regno Unito) le transazioni utilizzate erano di tipo "qual è il tuo numero di carta" ed era possibile clonare le chip card. I cloni hanno funzionato solo quando il terminale del punto vendita non ha contattato la banca per autenticare la carta.
Peanut,
Non sono completamente aggiornato, ma l'ultima volta che ho sentito (l'anno scorso qualche volta) ci sono ancora problemi con chip-and-pin a causa del comportamento di fallback specificato dei terminali - se non possono parlare con il chip, loro ricadere su comportamenti più vecchi, che alcuni aggressori potrebbero aver sfruttato. Questo è un bug piuttosto spiacevole a livello di specifica, sfortunatamente.
Michael Kohne,
Sì, se il chip è danneggiato, il terminale chiederà ancora una transazione con banda magnetica, anche nel Regno Unito dove non li abbiamo da anni. Potrebbe essere eliminato completamente, ma le banche non sembrano preoccuparsi dei piccoli livelli di frode che ciò potrebbe causare.
Peanut,
Ma che dire delle normali schede RFID / NFC, come le chiavi per le porte? possono essere copiati e utilizzati dal telefono?
Midhat il
@Midhat - se è destinato alla sicurezza, non sarai in grado di clonarlo facilmente (a meno che il venditore non fosse un branco completo di idioti). Normalmente i dispositivi utilizzati per la sicurezza NON sono solo cose "ecco il mio numero": hanno alcune informazioni internamente e quando il lettore chiede, fanno qualcosa e restituiscono una risposta, in modo da evitare solo questo problema. Questo non vuol dire che sia sicuro al 100%, ma non lo farai semplicemente seduto vicino al tuo telefono e lo clonerai.
Michael Kohne,
6

L'hardware NFC in Nexus S e Galaxy Nexus è tecnicamente in grado di emulare un tag NFC come una carta di credito senza contatto. Questo è esattamente come funziona Google Wallet . Tuttavia, la clonazione di una carta esistente non è possibile, a causa del funzionamento del processo di autenticazione tra carta e terminale di pagamento (basato su chiavi crittografiche segrete). Quindi il modo più semplice per ottenere ciò che vuoi è installare Google Wallet sul telefono (viene preinstallato sul Nexus S 4G, ci sono vari tutorial disponibili sul web per Nexus S e Galaxy Nexus semplici) e caricare un po 'di soldi in una carta prepagata di Google e vai a prendere un caffè.

Ragazzo NFC
fonte
1
Qualche alternativa per gente non americana là fuori? Google Wallet non è disponibile e Android Pay non funziona se rootato e quant'altro.
Kiradotee,
4

Mentre le altre due risposte sono sostanzialmente corrette (non è possibile creare cloni completi delle carte di credito contactless attuali), esistono scenari di attacco che consentono di creare cloni limitati di carte di credito contactless basate su EMV. Questo documento , ad esempio, descrive un metodo per clonare le carte MasterCard PayPass abusando di una vulnerabilità causata dalla retrocompatibilità delle carte PayPass con un protocollo (crittograficamente) debole e un controllo insufficiente delle transazioni sul lato dell'emittente delle carte. Allo stesso modo, questo documento descrive come abusare della debolezza specifica dei terminali di pagamento per creare copie limitate di carte di credito basate su EMV.

In combinazione con la nuova funzione di emulazione delle carte basata su host (HCE) di Android 4.4 (o la funzionalità di emulazione delle carte basata su host di CyanogenMod 9.1 e versioni successive), è possibile emulare una carta di credito pre-giocata con il telefono. Tuttavia, devi tenere presente che entrambi i metodi di clonazione sono scenari di attacco e possono condurti a gravi problemi legali ;-) Inoltre, almeno il primo attacco renderà rapidamente inutilizzabile la tua carta di credito originale a causa del drenaggio del contatore delle transazioni.

Michael Roland
fonte
-1

Sì, puoi utilizzare il proxy NFC su 2 unità di telefono abilitato NFC: una come proxy e l'altra come server. questa applicazione è / era principalmente per il ricercatore di sicurezza per controllare e testare applicazioni near-field che utilizzano rfid, mifare, ecc. come progetto open source, vedo alcuni progressi fatti dalla comunità e gli sviluppatori mantengono il progetto e aggiornano il wiki per tenere il passo con la tecnologia attuale o le tendenze delle applicazioni. sto ancora giocando con questo e uso i miei nexus per esplorare il potenziale, l'affidabilità e le vulnerabilità nelle applicazioni quotidiane come le carte di hotel o per attivare l'automazione.

tuttavia, se hai intenzione di utilizzare le tue carte di debito / carta di credito, fidelizzazione / appartenenza o anche ez-pass (per pedaggio / metropolitana / autobus) sul tuo Nexus S, applicazioni come google wallet, wallet square e isis (per nominare un pochi) dovrebbero bastare. Ho usato paypal, portafoglio Google e portafoglio quadrato sia per effettuare che per ricevere pagamenti. se correttamente configurate, collegate e verificate, queste applicazioni hanno il potenziale per sostituire il contenuto del tuo portafoglio. è spigoloso, moderno e potente ma con un grande potere derivano grandi responsabilità perché queste cose fantasiose creeranno un punto debole o una catena debole sulla tua sicurezza e privacy.

fammi sapere se anche tu sei interessato a usare il tuo nexus S come set di giochi. è un hardware così interessante tra nfc, obd e sdr che c'è sempre qualcosa di nuovo da scoprire con questo vecchio dispositivo.

harayz
fonte
2
Potresti spiegare di più come utilizzare questa app per raggiungere la richiesta di OP? È sconsigliato fornire solo un'app senza passaggi poiché gli utenti potrebbero non sapere come utilizzarla (e potrebbero danneggiare il proprio dispositivo). Inoltre, ho letto che è necessario utilizzare CyanogenMod affinché questo funzioni.
Andrew T.
non più: ora puoi usare altre rom.
Hrayz,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.