Могу ли я «клонировать» свою кредитную карту, используя чип NFC от Nexus S и Galaxy Nexus? Если нет, то почему нет?

15

Может ли приложение для Android считывать данные NFC моей кредитной карты, сохранять их, а затем отправлять эти данные в бесконтактную точку оплаты (PayPass)? Таким образом, я бы использовал Nexus для удобной оплаты кофе.

Если да, есть ли приложение для этого? Если нет, то почему нет?

nfc Уильям С
источник
2
Интересный вопрос .. :)
Android Quesito
Никогда не думал об этом вопросе. Что произойдет, если, скажем, данные, которые «представляют» данные NFC, дублируются, или это связано с идентификатором устройства для генерации ключа шифрования? (Понятия не имею, так как многие мои телефоны не имеют встроенного NFC), Тем не менее, это хороший вопрос :) +1 от меня :)
t0mm13b

Ответы:

16

Нет, ты не можешь. Для упрощения - беспроводные платежи (NFC, чипы RFID на картах и ​​т. Д.) - это не простая транзакция «какой номер вашей карты» (потому что это было бы небезопасно, не веря), а скорее «шифрование этого блока данных» с вашими секретными номерами и вернуть его типа вещи.

Блок данных, которые должны быть зашифрованы, изменяется для каждой транзакции, и нет никакого способа заставить устройство выдать свои секретные номера.

Так что вы не можете ЛЕГКО клонировать свои карты на свой телефон (если бы вы могли, то и любой другой, кто шел рядом с вами).

Это не значит, что этого нельзя сделать вообще (если, возможно, вы обнаружили недостаток в работе криптографии, возможно, вы могли бы вывести секретные номера устройства), но это не то, что вы собираетесь покупать приложение для.

Майкл Кон
источник
1
С другой стороны, вплоть до 2008 года (в Великобритании) транзакции использовались в качестве типа «какой номер вашей карты», и было возможно клонировать чип-карты. Клоны работали только тогда, когда терминал торговой точки не связывался с банком для проверки подлинности карты.
Арахис
Я не совсем в курсе, но последний раз, когда я слышал (в прошлом году), все еще есть проблемы с чипом и пин-кодом из-за указанного аварийного поведения терминалов - если они не могут общаться с чипом, они вернитесь к более старому поведению, которое могли использовать некоторые злоумышленники. К сожалению, это довольно неприятная ошибка на уровне спецификаций.
Майкл Кохне
Да, если чип поврежден, тогда терминал будет запрашивать транзакцию с магнитной полосой, даже в Великобритании, где у нас их не было годами. От него можно полностью избавиться, но банки, похоже, не обращают внимания на небольшие уровни мошенничества, которые это может вызвать.
Арахис
Но как насчет обычных карт RFID / NFC, таких как ключи для дверей? их можно скопировать и использовать с телефона?
Midhat
@Midhat - если он предназначен для безопасности, вы не сможете легко его клонировать (если поставщик не был полным дебилом). Обычно устройства, которые используются для обеспечения безопасности, это НЕ просто «вот мой номер» - они имеют внутреннюю информацию, и когда читатель спрашивает, он что-то делает и возвращает ответ, чтобы избежать этой проблемы. Это не значит, что он на 100% надежен, но вы не собираетесь просто сидеть рядом с телефоном и клонировать его.
Майкл Кохн
6

Аппаратные средства NFC в Nexus S и Galaxy Nexus технически способны эмулировать метку NFC, такую ​​как бесконтактная кредитная карта. Именно так работает Google Кошелек . Однако клонирование существующей карты невозможно из-за того, как работает процесс аутентификации между картой и платежным терминалом (на основе секретных криптографических ключей). Итак, самый простой способ выполнить то, что вам нужно, это установить Google Wallet на телефон (он предварительно установлен на Nexus S 4G, в Интернете доступны различные учебные пособия для простых Nexus S и Galaxy Nexus) и загрузить немного денег. в предоплаченную карту Google и вы идете, чтобы выпить кофе.

Парень NFC
источник
1
Есть ли альтернативы для неамериканских людей? Google Кошелек недоступен, а Android Pay не работает, если укоренился и еще много чего.
kiradotee
4

Хотя два других ответа в основном верны (вы не можете создать полные клоны текущих бесконтактных кредитных карт), существуют сценарии атак, которые позволяют создавать ограниченные клоны бесконтактных кредитных карт на основе EMV. В этой статье , например, описан метод клонирования карт MasterCard PayPass путем использования уязвимости, вызванной обратной совместимостью карт PayPass с (криптографически) слабым протоколом и недостаточной проверкой транзакций на стороне эмитента карты. Точно так же эта статья описывается, как злоупотреблять специфической слабостью платежных терминалов для создания ограниченных копий кредитных карт на основе EMV.

В сочетании с новой функцией эмуляции карт на основе хоста (HCE) в Android 4.4 (или функцией эмуляции карт на основе хоста CyanogenMod 9.1 и более поздних версий) вы можете эмулировать предварительно сыгранную кредитную карту с помощью телефона. Однако вы должны помнить, что оба метода клонирования являются сценариями атаки и могут привести к серьезным юридическим проблемам ;-) Более того, по крайней мере, первая атака быстро сделает вашу кредитную карту непригодной для использования из-за опустошения счетчика транзакций.

Майкл Роланд
источник
-1

Да, вы можете использовать NFC Proxy на 2 устройствах с поддержкой NFC - один в качестве прокси, а другой в качестве сервера. Это приложение предназначено в основном для исследователей безопасности для аудита и тестирования приложений ближнего поля, которые используют rfid, mifare и т. д. в качестве проекта с открытым исходным кодом. Я вижу некоторые успехи, достигнутые сообществом, и разработчики поддерживают проект и обновляют вики. идти в ногу с современными технологиями или тенденциями применения В настоящее время я все еще играю с этим и использую свои нексусы для изучения потенциала, надежности и уязвимостей в повседневных приложениях, таких как карты отелей, или для запуска автоматизации.

однако, если вы планируете использовать свою дебетовую / кредитную карту, карты лояльности / членства или даже ez-pass (для платных / метро / автобусных) карт на своем nexus S, такие приложения, как Google Wallet, Square Wallet и Isis (чтобы назвать мало) должно хватить. Я использовал PayPal, Google Кошелек и Квадратный кошелек для осуществления и получения оплаты. при правильной настройке, привязке и проверке эти приложения могут заменить содержимое вашего кошелька. это остро, современно и мощно, но с большой силой приходит большая ответственность, потому что эти причудливые вещи создадут слабое место или ослабят вашу безопасность и конфиденциальность.

дайте мне знать, если вы тоже заинтересованы в использовании Nexus S в качестве игрового набора. это такая интересная аппаратная часть между nfc, obd и sdr, с этим старым устройством всегда можно обнаружить что-то новое.

harayz
источник
2
Не могли бы вы объяснить подробнее, как использовать это приложение для выполнения запроса ОП? Предоставлять только приложение без каких-либо шагов не рекомендуется, поскольку пользователи могут не знать, как его использовать (и могут повредить свое устройство). Кроме того, я прочитал, что вам нужно использовать CyanogenMod для этого, чтобы работать.
Андрей Т.
больше нет - теперь вы можете использовать другие ромы.
Харайз