Apple Pay на Apple Watch безопасен, если iPhone взломан?

10

Когда / если джейлбрейк станет доступен для iOS 10.2, я заинтересован в его установке.

Поскольку я использую Apple Pay (только на своих часах), я хотел бы знать, что мои платежные реквизиты находятся в безопасности. Поскольку вы можете видеть информацию о вашей кредитной карте в приложении Apple Watch на iOS, это означает, что данные синхронизируются на обоих устройствах.

Из-за данных, хранящихся на часах и телефоне, позволит ли хакер получить данные моей карты? Если да, то это будут последние четыре цифры и мой банковский провайдер или все детали?

data-synchronization security jailbreak apple-watch apple-pay iProgram
источник
3
Вы подвергаете себя большему риску на взломанном устройстве.
CJ Дана
Почему вы хотите сделать джейлбрейк? И да, все на ваших часах тоже на вашем телефоне.
Тайсон
3
Отличный вопрос Я надеюсь, мы сможем получить хорошие ответы для вас.
bmike
@ Тайсон Мне интересно сделать это, чтобы увидеть, есть ли смысл делать это сейчас, а также просто посмотреть, что вы можете с этим сделать. Я использовал джейлбрейк <= iOS 6 и немного на iOS 7. Я не делал это долгое время, так как обнаружил, что мой телефон работает нестабильно. Хотите узнать, является ли джейлбрейк более стабильным сейчас.
iProgram
Просто примечание, чтобы сообщить вам, что я обновил свой ответ, чтобы более прямо ответить на ваш вопрос / ситуацию.
Мономет

Ответы:

7

[РЕДАКТИРОВАТЬ] - Эта редакция изменяет мой ответ на:

  • более конкретно ответить на вопрос ОП для их точного сценария
  • уменьшить двусмысленность, сделав более понятными те части моего ответа, которые носили более общий характер

1. Ответ на точный вопрос / сценарий ОП

Да, ваши платежные данные 100% безопасны , как вы уже настроили Apple , Pay на устройствах предыдущих , чтобы делать джейлбрейк в будущем. Это связано с тем, что информация о вашей карте не сохраняется на устройстве. Другими словами, поскольку данные не находятся на устройстве с самого начала, нет риска того, что они будут доступны с вашего iPhone, даже после джейлбрейка. Информация просто не может украсть!

2. Собственные слова Apple о шифровании и защите данных на взломанных устройствах.

По словам Apple

Безопасная цепочка загрузки, подписывание кода и безопасность процессов во время выполнения помогают гарантировать, что только надежный код и приложения могут работать на устройстве. iOS имеет дополнительные функции шифрования и защиты данных для защиты пользовательских данных, даже в тех случаях, когда другие части инфраструктуры безопасности были скомпрометированы (например, на устройстве с несанкционированными изменениями) . Это обеспечивает важные преимущества как для пользователей, так и для ИТ-администраторов, обеспечивая постоянную защиту личной и корпоративной информации и предоставляя методы для мгновенной и полной удаленной очистки в случае кражи или потери устройства.

Источник: Белая книга Apple по безопасности iOS, 2014 г., стр. 8. ПРИМЕЧАНИЕ: жирный акцент мой, а не Apple.

Как вы можете видеть, согласно Apple, даже джейлбрейк устройства не приведет к тому, что ненадежный код или приложения смогут получить доступ к определенным областям, таким как Secure Enclave.

В частности, Apple заявляет:

Secure Enclave - это сопроцессор, изготовленный на чипе Apple A7. Он использует собственную безопасную загрузку и персонализированное обновление программного обеспечения отдельно от процессора приложения. Он также обеспечивает все криптографические операции для управления ключами Data Protection и поддерживает целостность Data Protection, даже если ядро ​​было взломано .

Источник: Белая книга Apple по безопасности iOS, 2014 г., стр. 5. ПРИМЕЧАНИЕ: жирный акцент мой, а не Apple.

Secure Enclave является частью процессоров Apple A7 и более поздних. Этот анклав задокументирован в заявке на патент Apple 20130308838, а также имеет собственную ОС под названием SEP OS.

Так что, по словам Apple, ваши данные в безопасности.

3. Общая информация об Apple Pay и безопасности

Лучший способ ввести информацию о вашей карте при настройке Apple Pay - это использовать камеру вашего iPhone. Это потому, что это означает, что информация о вашей карте никогда не сохраняется на устройстве и не сохраняется в библиотеке фотографий. Другими словами, так как данные не находятся на устройстве с самого начала, нет риска доступа к ним с вашего iPhone.

После того, как вы настроили свое устройство для Apple Pay, ваш банк (или финансовое учреждение) создаст номер учетной записи устройства (DAN), который является уникальным для вашего устройства, зашифрован и отправлен в Apple, чтобы они могли добавить его к так называемому безопасному Элемент на вашем устройстве. Этот элемент полностью изолирован от iOS и watchOS , никогда не хранится на серверах Apple и не сохраняется в iCloud.

Важно также отметить, что DAN на самом деле никогда не расшифровывается Apple, они просто выполняют действие по размещению его на вашем устройстве в зашифрованном виде.

Если вам нужно вручную ввести информацию о вашей карте (т.е. вместо использования камеры вашего iPhone), эта информация также шифруется и отправляется на серверы Apple. Так как информация хранится на вашем iPhone до шифрования, теоретически возможно, что третье лицо может зарегистрировать это, но риск этого происходит на не взломанном устройстве 0%, потому что данные (то есть информация о вашей карте):

  • хранится в зашифрованной памяти
  • хранится только в течение очень короткого периода (не более нескольких секунд)
  • защищен переносом ключа AES, причем обе стороны предоставляют случайный ключ, который устанавливает ключ сеанса и использует транспортное шифрование AES-CCM .

Подводя итог, я не думаю, что можно на 100% гарантировать, что хакер никогда не сможет получить данные вашей карты, но на самом деле риск этого происходит из-за того, что взломщик взломает системы вашего банка, а не iPhone.

4. Дальнейшее чтение:

Мономет
источник
Если телефон скомпрометирован, любая сфотографированная карта может быть отправлена ​​злоумышленникам так же, как и любая введенная информация CC. Это все еще до того, как Apple Pay будет настроена или любой банк создаст DAN.
Константино Царухас,
На самом деле, камера не используется для фотографирования карты, она используется для распознавания буквенно-цифровых символов в различных «полях» карты. Однако, перечитывая мой ответ, я чувствую, что должен пересмотреть его, чтобы устранить любую непреднамеренную двусмысленность в моем ответе. Реальность такова, что риск крайне низок ( почти невозможен, но не невозможен) независимо от того, взломано ли устройство или нет. Я обновлю свой ответ позже сегодня, когда у меня будет возможность найти документ Apple, посвященный этой теме, поэтому я могу процитировать прямо из него. Спасибо за ваш комментарий! :)
Monomeeth
Я также имел в виду фотографии, сделанные вредоносным программным обеспечением. Ничто не мешает запускать программное обеспечение с привилегированными правами на русификацию, в то время как установка Apple Pay просто выполняет распознавание. Но это вредоносное ПО для тебя. ;-)
Константино Царухас
@RandyMarsh Просто примечание, чтобы сообщить вам, что я обновил свой ответ, чтобы предоставить более подробную информацию / источники и уменьшить неопределенность в моей формулировке.
Monomeeth
Спасибо за предоставление обновленной версии этой информации. Почему iOS показывает последние четыре цифры и моего банковского провайдера, хотя он хранится на моих часах, а не на телефоне? Не означает ли это, что некоторая информация передается с одного устройства на другое, что приводит к тому, что человек находится в середине атаки?
iProgram