Apple Pay บน Apple Watch ปลอดภัยหรือไม่หาก iPhone Jailbroken


10

เมื่อ / ถ้า Jailbreak พร้อมใช้งานสำหรับ iOS 10.2 ฉันสนใจที่จะติดตั้ง

เนื่องจากฉันใช้ Apple Pay (บนนาฬิกาของฉันเท่านั้น) ฉันต้องการทราบว่ารายละเอียดการชำระเงินของฉันปลอดภัย เนื่องจากคุณสามารถดูข้อมูลบัตรเครดิตของคุณในแอป Apple Watch บน iOS นี่หมายความว่าข้อมูลถูกซิงค์ระหว่างอุปกรณ์ทั้งสอง

เนื่องจากข้อมูลอยู่ในนาฬิกาและโทรศัพท์ทำให้แฮกเกอร์สามารถรับรายละเอียดบัตรของฉันได้หรือไม่ ถ้าเป็นเช่นนั้นมันจะเป็นตัวเลขสี่หลักสุดท้ายและผู้ให้บริการธนาคารหรือรายละเอียดทั้งหมดของฉัน?


3
คุณมีความเสี่ยงสูงกว่าในอุปกรณ์ที่ถูกเจลเบรค
CJ Dana

ทำไมคุณถึงต้องการที่จะแหกคุก? และใช่ทุกอย่างบนนาฬิกาก็อยู่ในโทรศัพท์ของคุณเช่นกัน
Tyson

3
เป็นคำถามที่ดีมาก ฉันหวังว่าเราจะได้คำตอบที่ดีสำหรับคุณ
bmike

@ ไทสันฉันสนใจที่จะทำมันเพื่อดูว่ายังมีจุดในการทำมันตอนนี้เช่นเดียวกับเพียงเพื่อดูว่าคุณสามารถทำอะไรกับมัน ฉันเคยแหกคุก <= iOS 6 และเล็กน้อยบน iOS 7 ฉันไม่ได้ทำมานานแล้วตั้งแต่ฉันพบว่าโทรศัพท์ของฉันไม่เสถียร ต้องการดูว่าการ jailbreaking มีความเสถียรมากกว่านี้หรือไม่
iProgram

เพิ่งทราบเพื่อแจ้งให้คุณทราบว่าฉันได้อัปเดตคำตอบของฉันเพื่อตอบคำถาม / สถานการณ์ของคุณโดยตรง
Monomeeth

คำตอบ:


7

[แก้ไข] - การแก้ไขนี้จะแก้ไขคำตอบของฉันเป็น:

  • ตอบคำถามของ OP เพิ่มเติมโดยเฉพาะสำหรับสถานการณ์ที่แน่นอน
  • ลดความคลุมเครือด้วยการทำให้ส่วนของคำตอบของฉันชัดเจนยิ่งขึ้นโดยทั่วไป

1. ตอบคำถาม / สถานการณ์ที่แน่นอนของ OP

ใช่รายละเอียดการชำระเงินของคุณปลอดภัย 100%เนื่องจากคุณได้ตั้งค่า Apple Pay บนอุปกรณ์ของคุณแล้วก่อนที่จะทำการเจลเบรคในอนาคต นี่เป็นเพราะข้อมูลบัตรของคุณไม่ได้บันทึกลงในอุปกรณ์ กล่าวอีกนัยหนึ่งเนื่องจากข้อมูลไม่ได้อยู่ในอุปกรณ์ที่จะเริ่มต้นด้วยไม่มีความเสี่ยงต่อการถูกเข้าถึงจาก iPhone ของคุณแม้หลังจากทำการเจลเบรคแล้ว ข้อมูลไม่ได้มีไว้เพื่อขโมย!

2. การเข้ารหัสคำของ Apple และการปกป้องข้อมูลบนอุปกรณ์ที่ถูกเจลเบรค

ตามแอปเปิ้ล

ห่วงโซ่การบูตที่ปลอดภัยการเซ็นชื่อโค้ดและความปลอดภัยของกระบวนการรันไทม์ช่วยให้มั่นใจได้ว่ามีเพียงรหัสและแอพที่เชื่อถือได้เท่านั้นที่สามารถทำงานบนอุปกรณ์ได้ iOS ของคุณมีการเข้ารหัสและการป้องกันข้อมูลคุณลักษณะเพิ่มเติมเพื่อป้องกันข้อมูลของผู้ใช้, แม้ในกรณีที่ส่วนอื่น ๆ ของโครงสร้างพื้นฐานด้านการรักษาความปลอดภัยมีการบุกรุก (ตัวอย่างเช่นในอุปกรณ์ที่มีการปรับเปลี่ยนไม่ได้รับอนุญาต) สิ่งนี้ให้ประโยชน์ที่สำคัญสำหรับผู้ใช้และผู้ดูแลระบบไอทีปกป้องข้อมูลส่วนบุคคลและองค์กรตลอดเวลาและให้วิธีการล้างข้อมูลจากระยะไกลแบบทันทีและเสร็จสมบูรณ์ในกรณีที่อุปกรณ์ถูกขโมยหรือสูญหาย

ที่มา: เอกสารความปลอดภัย iOS ของ Apple, 2014, p8 หมายเหตุ: เหมืองที่เน้นความหนา แต่ไม่ใช่ของ Apple

อย่างที่คุณเห็นตาม Apple แม้กระทั่งการจำคุกอุปกรณ์จะไม่ส่งผลให้เกิดรหัสหรือแอพที่ไม่น่าเชื่อถือซึ่งสามารถเข้าถึงบางพื้นที่เช่น Secure Enclave

โดยเฉพาะอย่างยิ่งรัฐของ Apple:

Secure Enclave เป็นตัวประมวลผลร่วมที่ประดิษฐ์ในชิป Apple A7 ใช้การบู๊ตอย่างปลอดภัยและอัพเดตซอฟต์แวร์ส่วนตัวแยกต่างหากจากแอพพลิเคชั่นโปรเซสเซอร์ นอกจากนี้ยังมีการดำเนินงานการเข้ารหัสลับทั้งหมดสำหรับการจัดการที่สำคัญป้องกันข้อมูลและการ รักษาความสมบูรณ์ของการป้องกันข้อมูลแม้ว่าเคอร์เนลได้รับการโจมตี

ที่มา: เอกสารความปลอดภัย iOS ของ Apple, 2014, p5 หมายเหตุ: เหมืองที่เน้นความหนา แต่ไม่ใช่ของ Apple

Secure Enclave เป็นส่วนหนึ่งของ A7 ของ Apple และโปรเซสเซอร์รุ่นใหม่กว่า วงล้อมนี้มีการบันทึกไว้ในApple Patent Application 20130308838และยังมีระบบปฏิบัติการของตัวเองที่เรียกว่า SEP OS

ดังนั้นข้อมูลของคุณก็ปลอดภัย

3. ข้อมูลทั่วไปเกี่ยวกับ Apple Pay และความปลอดภัย

วิธีที่ดีที่สุดในการป้อนข้อมูลบัตรของคุณเมื่อตั้งค่า Apple Pay คือใช้กล้องของ iPhone เนื่องจากการทำเช่นนี้หมายความว่าข้อมูลบัตรของคุณจะไม่ถูกบันทึกลงในอุปกรณ์หรือเก็บไว้ในคลังภาพ กล่าวอีกนัยหนึ่งเนื่องจากข้อมูลไม่ได้อยู่ในอุปกรณ์ที่จะเริ่มต้นด้วยจึงไม่มีความเสี่ยงในการเข้าถึงข้อมูลจาก iPhone ของคุณ

เมื่อคุณตั้งค่าอุปกรณ์ของคุณสำหรับ Apple Pay ธนาคารของคุณ (หรือสถาบันการเงิน) จะสร้างหมายเลขบัญชีอุปกรณ์ (DAN) ซึ่งไม่ซ้ำกับอุปกรณ์ของคุณและถูกเข้ารหัสและส่งไปยัง Apple เพื่อให้พวกเขาสามารถเพิ่มลงในสิ่งที่เรียกว่าปลอดภัย องค์ประกอบบนอุปกรณ์ของคุณ นี้องค์ประกอบเป็นทั้งหมดที่แยกได้จาก iOS และ watchOSจะไม่ถูกเก็บไว้บนเซิร์ฟเวอร์ของแอปเปิ้ลหรือสำรองข้อมูลไปยัง iCloud

สิ่งสำคัญคือต้องทราบว่า DAN นั้นไม่เคยถอดรหัสจริงโดย Apple พวกเขาเพียง แต่ทำการกระทำบนอุปกรณ์ของคุณในรูปแบบที่เข้ารหัส

หากคุณต้องป้อนข้อมูลบัตรของคุณด้วยตนเอง (เช่นแทนที่จะใช้กล้องของ iPhone) ข้อมูลนี้จะถูกเข้ารหัสและส่งไปยังเซิร์ฟเวอร์ Apple เนื่องจากข้อมูลถูกเก็บไว้ใน iPhone ของคุณก่อนการเข้ารหัสเป็นไปได้ในทางทฤษฎีว่าบุคคลที่สามสามารถบันทึกสิ่งนี้ แต่ความเสี่ยงของการเกิดเหตุการณ์นี้บนอุปกรณ์ที่ไม่ได้ถูกเจลเบรคคือ 0% เนื่องจากข้อมูล (เช่นข้อมูลบัตรของคุณ):

  • ถูกเก็บไว้ในหน่วยความจำที่เข้ารหัส
  • เก็บไว้เพียงช่วงเวลาสั้น ๆ (มากที่สุดไม่กี่วินาที)
  • ได้รับการคุ้มครองโดยการห่อคีย์ AES พร้อมทั้งให้การสุ่มคีย์ที่สร้างคีย์เซสชันและใช้การเข้ารหัสการขนส่งAES-CCM

โดยสรุปแล้วฉันไม่คิดว่าเป็นไปได้ที่จะรับประกันได้ 100% ว่าแฮ็กเกอร์ไม่สามารถเรียกรายละเอียดบัตรของคุณได้ แต่ในความเป็นจริงความเสี่ยงของเหตุการณ์นี้เกิดขึ้นจริงจากแฮกเกอร์ที่ละเมิดระบบธนาคารของคุณแทนไม่ใช่จาก iPhone ของคุณ

4. อ่านเพิ่มเติม:

  • การรักษาความปลอดภัยแอปเปิ้ลจ่าย

หากโทรศัพท์ถูกบุกรุกการ์ดที่ถูกถ่ายรูปสามารถส่งไปยังฝ่ายที่ประสงค์ร้ายได้เช่นเดียวกับข้อมูล CC ที่ถูกพิมพ์ นี่คือทั้งหมดก่อนที่ Apple Pay จะถูกตั้งค่าหรือธนาคารใด ๆ สร้าง DAN
Constantino Tsarouhas

ที่จริงแล้วกล้องไม่ได้ถูกใช้เพื่อถ่ายภาพการ์ด แต่มันถูกใช้เพื่อจดจำตัวอักษรและตัวเลขใน 'ฟิลด์' ของการ์ด อย่างไรก็ตามเมื่ออ่านคำตอบของฉันอีกครั้งฉันรู้สึกว่าฉันควรแก้ไขเพื่อลบความคลุมเครือที่ไม่ได้ตั้งใจในการตอบกลับของฉัน ความจริงก็คือความเสี่ยงนั้นต่ำมาก ( แทบจะเป็นไปไม่ได้ แต่เป็นไปไม่ได้) ไม่ว่าอุปกรณ์นั้นจะถูกเจลเบรคหรือไม่ก็ตาม ฉันจะอัปเดตคำตอบของฉันในวันนี้เมื่อฉันมีโอกาสขุดกระดาษสีขาวของ Apple ที่ครอบคลุมหัวข้อนี้ดังนั้นฉันสามารถอ้างอิงได้โดยตรง ขอบคุณสำหรับความคิดเห็นของคุณ! :)
Monomeeth

ฉันหมายถึงรูปถ่ายที่ทำโดยซอฟต์แวร์ที่เป็นอันตราย ไม่มีสิ่งใดขัดขวางการใช้งานซอฟต์แวร์ที่มีสิทธิ์ใช้งานรูทเพื่อแอบถ่ายในขณะที่การตั้งค่า Apple Pay เป็นเพียงการจดจำ แต่นั่นเป็นซอฟต์แวร์ที่เป็นอันตรายสำหรับคุณ ;-)
Constantino Tsarouhas

@RandyMarsh เพียงแจ้งให้คุณทราบว่าฉันได้อัปเดตคำตอบของฉันเพื่อให้ข้อมูลรายละเอียดเพิ่มเติม / แหล่งที่มาและเพื่อลดความคลุมเครือใด ๆ ในถ้อยคำของฉัน
Monomeeth

ขอขอบคุณที่แจ้งข้อมูลนี้ให้กับรุ่นที่ปรับปรุงแล้ว ทำไม iOS ถึงแสดงตัวเลขสี่หลักสุดท้ายและผู้ให้บริการธนาคารที่ฉันมีถึงแม้ว่ามันจะถูกเก็บไว้ในนาฬิกาและไม่ใช่โทรศัพท์ นั่นหมายความว่าข้อมูลบางอย่างกำลังถ่ายโอนจากอุปกรณ์หนึ่งไปยังอีกเครื่องหนึ่งซึ่งนำไปสู่การโจมตีของชายคนหนึ่งในกลาง?
iProgram
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.