Apple Pay su Apple Watch è sicuro se il jailbreak di iPhone?

10

Quando / se un jailbreak diventa disponibile per iOS 10.2, sono interessato a installarlo.

Poiché utilizzo Apple Pay (solo sul mio orologio), vorrei sapere che i miei dettagli di pagamento sono al sicuro. Poiché puoi visualizzare i dati della tua carta di credito nell'app Apple Watch su iOS, ciò significa che i dati sono sincronizzati su entrambi i dispositivi.

A causa dei dati presenti sull'orologio e sul telefono, ciò consentirebbe a un hacker di ottenere i dettagli della mia carta? In tal caso, sarebbero solo le ultime quattro cifre e il mio fornitore di banca o tutti i dettagli?

data-synchronization  security  jailbreak  apple-watch  apple-pay 
iProgram
fonte
3
Ti esponi a un rischio maggiore su un dispositivo jailbreak.
CJ Dana,
Perché vuoi effettuare il jailbreak? E sì, tutto sul tuo orologio è anche sul tuo telefono.
Tyson,
3
Ottima domanda Spero che possiamo ottenere delle buone risposte per te.
bmike
@Tyson Sono interessato a farlo per vedere se c'è ancora motivo di farlo ora, così come solo per vedere cosa puoi farci. Ho usato il jailbreak <= iOS 6 e un po 'su iOS 7. Non lo facevo da molto tempo da quando ho trovato il mio telefono instabile. Vuoi vedere se il jailbreak è più stabile ora.
iProgramma il
Solo una nota per farti sapere che ho aggiornato la mia risposta per rispondere più direttamente alla tua domanda / situazione.
Monomeeth

Risposte:

7

[EDIT] - Questa modifica modifica la mia risposta a:

  • in particolare, rispondere alla domanda del PO per il loro esatto scenario
  • ridurre l'ambiguità rendendo più chiare le parti della mia risposta di natura più generale

1. Rispondere alla domanda / scenario esatti dell'OP

Sì, i dettagli di pagamento sono sicuri al 100% , poiché hai già configurato Apple Pay sui tuoi dispositivi prima di effettuare un jailbreak in futuro. Questo perché le informazioni della tua carta non vengono salvate sul dispositivo. In altre parole, dal momento che i dati non sono sul dispositivo per cominciare, non c'è rischio che vengano acceduti dal tuo iPhone, anche dopo aver effettuato un jailbreak. L'informazione semplicemente non è lì per rubare!

2. Le parole di Apple riguardano la crittografia e la protezione dei dati sui dispositivi jailbreak

Secondo Apple

La catena di avvio sicura, la firma del codice e la sicurezza del processo di runtime contribuiscono a garantire che solo un codice e app attendibili possano essere eseguiti su un dispositivo. iOS ha funzionalità di crittografia e protezione dei dati aggiuntive per salvaguardare i dati dell'utente, anche nei casi in cui altre parti dell'infrastruttura di sicurezza sono state compromesse (ad esempio, su un dispositivo con modifiche non autorizzate) . Ciò offre importanti vantaggi sia per gli utenti che per gli amministratori IT, proteggendo in ogni momento le informazioni personali e aziendali e fornendo metodi per la cancellazione remota istantanea e completa in caso di furto o smarrimento del dispositivo.

Fonte: White paper sulla sicurezza iOS di Apple, 2014, p8. NOTA: grassetto enfasi mio, non di Apple.

Come puoi vedere, secondo Apple, anche il jailbreak di un dispositivo non comporterà l'accesso di codice o app non attendibili ad alcune aree, come Secure Enclave.

Più specificamente, Apple afferma:

Secure Enclave è un coprocessore fabbricato nel chip Apple A7. Utilizza il proprio avvio sicuro e un aggiornamento software personalizzato separato dal processore dell'applicazione. Fornisce inoltre tutte le operazioni crittografiche per la gestione delle chiavi di Data Protection e mantiene l'integrità di Data Protection anche se il kernel è stato compromesso .

Fonte: White paper sulla sicurezza iOS di Apple, 2014, p5. NOTA: grassetto enfasi mio, non di Apple.

Secure Enclave fa parte dei processori A7 e successivi di Apple. Questa enclave è documentata nella domanda di brevetto Apple 20130308838 e ha anche un proprio sistema operativo chiamato SEP OS.

Quindi, secondo Apple, i tuoi dati sono al sicuro.

3. Informazioni generali su Apple Pay e sicurezza

Il modo migliore per inserire i dati della tua carta durante la configurazione di Apple Pay è utilizzare la fotocamera del tuo iPhone. Questo perché ciò significa che i dati della tua carta non vengono mai salvati sul dispositivo o memorizzati nella libreria di foto. In altre parole, poiché i dati non sono sul dispositivo per cominciare, non c'è rischio che vengano acceduti dal tuo iPhone.

Dopo aver configurato il dispositivo per Apple Pay, la tua banca (o istituto finanziario) crea un numero di conto dispositivo (DAN) che è unico per il tuo dispositivo e viene crittografato e inviato ad Apple in modo che possano aggiungerlo a ciò che viene chiamato Secure Elemento sul tuo dispositivo. Questo elemento è totalmente isolato da iOS e watchOS , non viene mai archiviato sui server Apple , né eseguito il backup su iCloud.

È anche importante notare che il DAN non viene mai effettivamente decifrato da Apple, ma semplicemente eseguono l'azione di posizionarlo sul tuo dispositivo nella sua forma crittografata.

Se devi inserire manualmente i dati della tua carta (cioè invece di usare la fotocamera del tuo iPhone), anche queste informazioni vengono crittografate e inviate ai server Apple. Poiché le informazioni sono memorizzate sul tuo iPhone prima della crittografia, è teoricamente possibile che una terza parte possa registrarlo, ma il rischio che ciò accada su un dispositivo non jailbreak è dello 0% a causa dei dati (ovvero le informazioni della tua carta):

  • è archiviato nella memoria crittografata
  • memorizzato solo per un periodo molto breve (pochi secondi al massimo)
  • è protetto dal wrapping della chiave AES con entrambe le parti che fornisce una chiave casuale che stabilisce la chiave di sessione e utilizza la crittografia di trasporto AES-CCM .

In sintesi, non penso che sia possibile garantire assolutamente al 100% che un hacker non possa mai recuperare i dettagli della tua carta, ma in realtà il rischio che ciò accada è in realtà dovuto a un hacker che viola i sistemi della tua banca, non dal tuo iPhone.

4. Ulteriori letture:

Monomeeth
fonte
Se il telefono è compromesso, qualsiasi carta fotografata può essere inviata a parti maligne così come è possibile inviare qualsiasi informazione CC digitata. Questo è tutto prima ancora che Apple Pay venga creato o che qualsiasi banca crei un DAN.
Constantino Tsarouhas,
In realtà, la fotocamera non viene utilizzata per fotografare la scheda, ma viene utilizzata per riconoscere i caratteri alfanumerici nei vari "campi" della scheda. Tuttavia, rileggendo la mia risposta, sento che dovrei rivederla per rimuovere qualsiasi ambiguità involontaria nella mia risposta. La realtà è che il rischio è estremamente basso ( quasi impossibile, ma non impossibile) indipendentemente dal fatto che il dispositivo sia jailbreak o meno. Aggiornerò la mia risposta più tardi oggi, quando ho avuto la possibilità di estrarre un white paper di Apple che tratta questo argomento, in modo da poterlo citare direttamente da esso. Grazie per il tuo commento! :)
Monomeeth
Intendevo anche fotografie realizzate da software dannoso. Nulla impedisce all'esecuzione di software con privilegi di root di scattare foto di nascosto mentre l'installazione di Apple Pay esegue solo il riconoscimento. Ma questo è un software dannoso per te. ;-)
Constantino Tsarouhas,
@RandyMarsh Solo una nota per farti sapere che ho aggiornato la mia risposta per fornire informazioni / fonti più dettagliate e ridurre qualsiasi ambiguità nella mia formulazione.
Monomeeth
Grazie per aver fornito una versione aggiornata di queste informazioni. Perché iOS mostra le ultime quattro cifre e il fornitore della banca che ho, anche se è memorizzato sul mio orologio e non sul telefono? Ciò non significherebbe che alcune informazioni vengono trasferite da un dispositivo all'altro, portando a un uomo nel mezzo dell'attacco?
iProgramma
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.