Apple Pay trên Apple Watch có an toàn không nếu iPhone bị bẻ khóa?

10

Khi / nếu Bẻ khóa có sẵn cho iOS 10.2, tôi muốn cài đặt nó.

Vì tôi sử dụng Apple Pay (chỉ trên đồng hồ của tôi), tôi muốn biết rằng chi tiết thanh toán của tôi an toàn. Vì bạn có thể xem thông tin thẻ tín dụng của mình trong ứng dụng Apple Watch trên iOS, điều này có nghĩa là dữ liệu được đồng bộ hóa trên cả hai thiết bị.

Do dữ liệu trên đồng hồ và điện thoại, điều này có khiến hacker có thể lấy thông tin thẻ của tôi không? Nếu vậy, nó sẽ chỉ là bốn chữ số cuối cùng và nhà cung cấp ngân hàng của tôi hoặc tất cả các chi tiết?

data-synchronization  security  jailbreak  apple-watch  apple-pay 
Chương trình iPro
nguồn
3
Bạn có nguy cơ cao hơn trên một thiết bị đã bẻ khóa.
CJ Dana
Tại sao bạn muốn jailbreak? Và vâng, tất cả mọi thứ trên đồng hồ của bạn cũng có trên điện thoại của bạn.
Tyson
3
Câu hỏi tuyệt vời. Tôi hy vọng chúng tôi có thể nhận được một số câu trả lời tốt cho bạn.
bmike
@Tyson Tôi quan tâm đến việc thực hiện nó để xem liệu bây giờ vẫn còn quan điểm để làm điều đó hay không, chỉ để xem những gì bạn có thể làm với nó. Tôi đã từng bẻ khóa <= iOS 6 và một chút trên iOS 7. Tôi đã không làm điều đó trong một thời gian dài kể từ khi tôi thấy điện thoại của mình không ổn định. Muốn xem jailbreaking ổn định hơn bây giờ không.
iProgram
Chỉ cần một lưu ý để cho bạn biết tôi đã cập nhật câu trả lời của mình để trả lời trực tiếp hơn cho câu hỏi / tình huống của bạn.
Monomeeth

Câu trả lời:

7

[EDIT] - Chỉnh sửa này sửa đổi câu trả lời của tôi thành:

  • trả lời cụ thể hơn câu hỏi của OP cho kịch bản chính xác của họ
  • giảm sự mơ hồ bằng cách làm rõ hơn các phần trong câu trả lời của tôi có tính khái quát hơn

1. Trả lời câu hỏi / kịch bản chính xác của OP

Có, chi tiết thanh toán của bạn an toàn 100% , vì bạn đã thiết lập Apple Pay trên thiết bị của mình trước khi tiến hành bẻ khóa trong tương lai. Điều này là do thông tin thẻ của bạn không được lưu vào thiết bị. Nói cách khác, vì dữ liệu không có trên thiết bị để bắt đầu, nên không có nguy cơ nó bị truy cập từ iPhone của bạn, ngay cả sau khi thực hiện bẻ khóa. Thông tin đơn giản là không có để ăn cắp!

2. Mã hóa của Apple được mã hóa lại và bảo vệ dữ liệu trên các thiết bị đã bẻ khóa

Theo Apple

Chuỗi khởi động an toàn, ký mã và bảo mật quy trình thời gian chạy đều giúp đảm bảo rằng chỉ các ứng dụng và mã đáng tin cậy mới có thể chạy trên thiết bị. iOS có các tính năng mã hóa và bảo vệ dữ liệu bổ sung để bảo vệ dữ liệu người dùng, ngay cả trong trường hợp các phần khác của cơ sở hạ tầng bảo mật bị xâm phạm (ví dụ: trên thiết bị có sửa đổi trái phép) . Điều này cung cấp lợi ích quan trọng cho cả người dùng và quản trị viên CNTT, bảo vệ thông tin cá nhân và doanh nghiệp mọi lúc và cung cấp các phương pháp để xóa từ xa ngay lập tức và hoàn toàn trong trường hợp mất cắp hoặc mất thiết bị.

Nguồn: Sách trắng bảo mật iOS của Apple, 2014, p8. LƯU Ý: Tôi nhấn mạnh đậm, không phải của Apple.

Như bạn có thể thấy, theo Apple, ngay cả việc bẻ khóa một thiết bị sẽ không dẫn đến mã hoặc ứng dụng không đáng tin cậy có thể truy cập vào một số khu vực nhất định, chẳng hạn như Secure Eniances.

Cụ thể hơn, Apple tuyên bố:

Secure Eniances là bộ đồng xử lý được chế tạo trong chip Apple A7. Nó sử dụng khởi động an toàn của riêng mình và cập nhật phần mềm được cá nhân hóa tách biệt với bộ xử lý ứng dụng. Nó cũng cung cấp tất cả các hoạt động mã hóa để quản lý khóa Bảo vệ dữ liệu và duy trì tính toàn vẹn của Bảo vệ dữ liệu ngay cả khi hạt nhân đã bị xâm phạm .

Nguồn: Sách trắng bảo mật iOS của Apple, 2014, p5. LƯU Ý: Tôi nhấn mạnh đậm, không phải của Apple.

Secure Eniances là một phần của bộ xử lý A7 của Apple và sau này. Vỏ bọc này được ghi lại trong Ứng dụng bằng sáng chế của Apple 20130308838 và cũng có HĐH riêng gọi là HĐH SEP.

Vì vậy, theo Apple, dữ liệu của bạn là an toàn.

3. Thông tin chung về Apple Pay và bảo mật

Cách tốt nhất để nhập thông tin thẻ của bạn khi thiết lập Apple Pay là sử dụng máy ảnh của iPhone. Điều này là do làm như vậy có nghĩa là thông tin thẻ của bạn không bao giờ được lưu vào thiết bị hoặc được lưu trữ vào thư viện ảnh. Nói cách khác, vì dữ liệu không có trên thiết bị để bắt đầu, nên không có nguy cơ dữ liệu nào được truy cập từ iPhone của bạn.

Khi bạn đã thiết lập thiết bị của mình cho Apple Pay, ngân hàng (hoặc tổ chức tài chính) của bạn sẽ tạo Số tài khoản thiết bị (DAN) duy nhất cho thiết bị của bạn và được mã hóa và gửi cho Apple để họ có thể thêm nó vào cái được gọi là Bảo mật Yếu tố trên thiết bị của bạn. Đây tố là hoàn toàn cách biệt với iOS và watchos , là không bao giờ được lưu trữ trên máy chủ của Apple , cũng không sao lưu vào iCloud.

Điều quan trọng cũng cần lưu ý là DAN không bao giờ được Apple giải mã thực sự, họ chỉ thực hiện hành động đặt nó trên thiết bị của bạn ở dạng mã hóa.

Nếu bạn phải nhập thủ công thông tin thẻ của mình (tức là thay vì sử dụng máy ảnh của iPhone), thông tin này cũng được mã hóa và gửi đến máy chủ Apple. Vì thông tin được lưu trữ trên iPhone của bạn trước khi mã hóa, về mặt lý thuyết , bên thứ 3 có thể đăng nhập thông tin này, nhưng rủi ro xảy ra trên thiết bị không jailbreak là 0% vì dữ liệu (ví dụ thông tin thẻ của bạn):

  • được lưu trữ trong bộ nhớ được mã hóa
  • chỉ được lưu trữ trong một khoảng thời gian rất ngắn (tối đa vài giây)
  • được bảo vệ bởi gói khóa AES với cả hai bên cung cấp khóa ngẫu nhiên thiết lập khóa phiên và sử dụng mã hóa truyền tải AES-CCM .

Tóm lại, tôi không nghĩ có thể đảm bảo 100% rằng hacker không bao giờ có thể lấy thông tin chi tiết về thẻ của bạn, nhưng thực tế, nguy cơ điều này xảy ra thực sự là do tin tặc xâm phạm hệ thống ngân hàng của bạn chứ không phải từ iPhone của bạn.

4. Đọc thêm:

Monomeeth
nguồn
Nếu điện thoại bị xâm phạm, bất kỳ thẻ chụp ảnh nào cũng có thể được gửi cho các bên độc hại giống như bất kỳ thông tin CC đã nhập nào có thể được gửi. Đây là tất cả trước khi Apple Pay thậm chí được thiết lập hoặc bất kỳ ngân hàng nào tạo DAN.
Constantino Tsarouhas
Trên thực tế, máy ảnh không được sử dụng để chụp ảnh thẻ, nó được sử dụng để nhận dạng các ký tự chữ và số trong các 'trường' khác nhau của thẻ. Tuy nhiên, khi đọc lại câu trả lời của tôi, tôi cảm thấy nên sửa lại nó để loại bỏ bất kỳ sự mơ hồ không chủ ý nào trong phản hồi của mình. Thực tế là rủi ro là cực kỳ thấp ( gần như không thể, nhưng không phải là không thể) bất kể thiết bị có được bẻ khóa hay không. Tôi sẽ cập nhật câu trả lời của mình sau hôm nay khi tôi có cơ hội tìm hiểu một tờ giấy trắng của Apple về chủ đề này, vì vậy tôi có thể trích dẫn trực tiếp từ nó. Cám ơn bạn đã góp ý! :)
Monomeeth
Tôi cũng có nghĩa là hình ảnh được thực hiện bởi phần mềm độc hại. Không có gì ngăn cản chạy phần mềm đặc quyền root để lén chụp ảnh trong khi thiết lập Apple Pay chỉ thực hiện nhận dạng. Nhưng đó là phần mềm độc hại cho bạn. ;-)
Constantino Tsarouhas
@RandyMarsh Chỉ cần một lưu ý để cho bạn biết tôi đã cập nhật câu trả lời của mình để cung cấp thông tin / nguồn chi tiết hơn và để giảm bất kỳ sự mơ hồ nào trong cách diễn đạt của tôi.
Monomeeth
Cảm ơn bạn đã cung cấp một phiên bản cập nhật của thông tin này. Tại sao iOS hiển thị bốn chữ số cuối cùng và nhà cung cấp ngân hàng mà tôi có, mặc dù nó được lưu trên đồng hồ của tôi chứ không phải điện thoại? Điều đó có nghĩa là một số thông tin đang được chuyển từ thiết bị này sang thiết bị khác, dẫn đến một người đàn ông trong cuộc tấn công trung gian?
iProgram
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.