Apple Pay su Apple Watch è sicuro se iPhone Jailbroken?

10

Quando / se un jailbreak diventa disponibile per iOS 10.2, sono interessato a installarlo.

Poiché utilizzo Apple Pay (solo sul mio orologio), vorrei sapere che i miei dettagli di pagamento sono al sicuro. Poiché puoi vedere i dati della tua carta di credito nell'app Apple Watch su iOS, significa che i dati sono sincronizzati su entrambi i dispositivi.

A causa dei dati sull'orologio e sul telefono, ciò consentirebbe a un hacker di ottenere i dettagli della mia carta? In tal caso, sarebbero solo le ultime quattro cifre e il mio fornitore di servizi bancari o tutti i dettagli?

    
posta iProgram 24.12.2016 - 22:54
fonte

1 risposta

8

[EDIT] - Questa modifica rivede la mia risposta a:

  • più specificamente rispondi alla domanda dell'OP per il loro esatto scenario
  • ridurre l'ambiguità rendendo più chiare le parti della mia risposta che erano di natura più generale

1. Rispondi alla domanda / scenario esatto dell'OP

Sì, i tuoi dati di pagamento sono sicuri al 100% , in quanto hai già configurato Apple Pay sui tuoi dispositivi prima di eseguendo un jailbreak in futuro. Questo perché le informazioni della tua carta non vengono salvate sul dispositivo. In altre parole, dal momento che i dati non sono sul dispositivo per cominciare, non vi è alcun rischio di essere acceduto dal tuo iPhone, anche dopo aver fatto un jailbreak. Le informazioni semplicemente non sono lì per rubare!

2. Le parole di Apple re crittografano e proteggono i dati sui dispositivi jailbreak

Secondo Apple

The secure boot chain, code signing, and runtime process security all help to ensure that only trusted code and apps can run on a device. iOS has additional encryption and data protection features to safeguard user data, even in cases where other parts of the security infrastructure have been compromised (for example, on a device with unauthorized modifications). This provides important benefits for both users and IT administrators, protecting personal and corporate information at all times and providing methods for instant and complete remote wipe in the case of device theft or loss.

Fonte: White paper sulla sicurezza iOS di Apple, 2014, p8. NOTA: grassetto enfasi mio, non di Apple.

Come puoi vedere, secondo Apple, anche il jailbreak di un dispositivo non porterà il codice o le app non attendibili a poter accedere ad alcune aree, come Secure Enclave.

Più specificamente, Apple afferma:

The Secure Enclave is a coprocessor fabricated in the Apple A7 chip. It utilizes its own secure boot and personalized software update separate from the application processor. It also provides all cryptographic operations for Data Protection key management and maintains the integrity of Data Protection even if the kernel has been compromised.

Fonte: White paper sulla sicurezza iOS di Apple, 2014, p5. NOTA: grassetto enfasi mio, non di Apple.

Secure Enclave fa parte dei processori A7 e successivi di Apple. Questa enclave è documentata in Apple domanda di brevetto 20130308838 e ha anche il proprio sistema operativo chiamato SEP OS.

Quindi, secondo Apple, i tuoi dati sono al sicuro.

3. Informazioni generali su Apple Pay e sicurezza

Il modo migliore per inserire i dati della tua carta quando configuri Apple Pay è utilizzare la fotocamera del tuo iPhone. Questo perché le informazioni sulla carta non vengono mai salvate sul dispositivo o archiviate nella libreria fotografica. In altre parole, dal momento che i dati non sono sul dispositivo per cominciare, non c'è alcun rischio che venga acceduto dal tuo iPhone.

Dopo aver configurato il dispositivo per Apple Pay, la tua banca (o istituto finanziario) crea un numero di account dispositivo (DAN) che è univoco per il tuo dispositivo ed è crittografato e inviato ad Apple in modo che possano aggiungerlo a ciò che è chiamato Secure Element sul tuo dispositivo. Questo elemento è totalmente isolato da iOS e watchOS , è mai memorizzato sui server Apple , né eseguito il backup su iCloud.

È importante notare che il DAN non viene mai decifrato da Apple, ma si limita a eseguire l'azione di collocarlo sul tuo dispositivo in forma crittografata.

Se devi inserire manualmente i dati della tua carta (vale a dire, anziché utilizzare la fotocamera del tuo iPhone), queste informazioni vengono anche crittografate e inviate ai server Apple. Poiché le informazioni sono memorizzate sul tuo iPhone prima della crittografia, è teoricamente possibile che una terza parte possa registrarlo, ma il rischio che ciò accada su un dispositivo non jailbroken è 0% perché i dati (es. le informazioni della tua carta):

  • è archiviato nella memoria crittografata
  • memorizzato solo per un periodo molto breve (pochi secondi al massimo)
  • è protetto da AES key wrapping con entrambi i lati che fornisce una chiave casuale che stabilisce la chiave di sessione e utilizza AES-CCM crittografia del trasporto.

In sintesi, non credo sia possibile garantire al 100% che un hacker non possa mai recuperare i dettagli della tua carta, ma in realtà il rischio che questo accada è in realtà da una violazione di un hacker i sistemi della tua banca invece, non dal tuo iPhone.

4. Ulteriori letture:

risposta data 25.12.2016 - 14:03
fonte