Principal Programari Les tècniques de falsificació NFC conegudes probablement no funcionaran amb Apple Pay
Programari

Les tècniques de falsificació NFC conegudes probablement no funcionaran amb Apple Pay

Notíciestauletes S 19 d'octubre de 2014 20:02 PDT

Apple Pay està a punt de canviar la manera de pagar els productes en una botiga minorista. El nou sistema d'Apple Pay us permet fer compres amb les targetes del vostre compte d'iTunes Store. Quan apropeu el vostre iPhone 6 a un terminal de pagament equipat amb NFC, veureu les vostres targetes a Passbook i podreu autoritzar una transacció amb el lector d'empremtes digitals Touch ID. Això és tot, ja heu acabat i mai no s'ha compartit cap informació sensible de la vostra targeta de crèdit directament amb el comerciant.

La comunicació de camp proper, o NFC, no és una tecnologia nova, i els pirates informàtics han tingut molt de temps per desenvolupar un maquinari que ensumeix els senyals a mesura que es transmeten sense fil des del vostre telèfon a un lector. Tot i que alguns experts en seguretat amb qui vaig parlar insisteixen que aquestes vulnerabilitats conegudes podrien aplicar-se a les transaccions d'Apple Pay, també van admetre que l'ús d'Apple de fitxes d'un sol ús en lloc de la informació real de la vostra targeta de crèdit faria que aquests pirates fossin bastant sense dents.

Com funcionaria la falsificació

La falsificació d'una transacció NFC implica la creació d'un lector fictici, per exemple, una altra targeta intel·ligent o un telèfon intel·ligent, que olora un senyal proper i roba les dades durant una transacció.



Com comprovar l'emmagatzematge al disc dur extern al Mac

Hector Forats, the CEO of Forats Labs , una empresa de seguretat d'infraestructures digitals que fa un dispositiu biomètric per a caixers automàtics, diu que hi ha un hack conegut per a NFC que utilitza receptors de ràdio disponibles que qualsevol persona pot comprar a Radio Shack. Utilitzant aquest lector casolà, un pirata informàtic situat a prop del terminal d'Apple Pay podria interceptar el senyal.

tim cook nfcCaptura de pantalla

El CEO d'Apple, Tim Cook, mostra una diapositiva d'empreses que es van iniciar per donar suport a Apple Pay a les botigues.

Un rastrejador de ràdio podria funcionar si algú estigués dret darrere teu a un peu o dos de distància, diu Hoyos. Fins i tot va suggerir que la parodia és un dels motius Google Wallet , que també es basa en l'NFC, mai no es va popularitzar, tot i que no es coneixen proves de vídeo que Google Wallet hagi estat piratejat d'aquesta manera.

Altres mètodes requereixen accés físic. Satnam Narang, el gerent de resposta de seguretat de la Symantec La divisió de tecnologia i resposta de seguretat (S.T.A.R.), diu que hi ha un pirateig conegut relacionat amb les transaccions NFC, però requereix que el pirata informàtic instal·li primer un codi maliciós al telèfon.

cost de la bateria nova per a iphone 5

Narang diu que una vulnerabilitat coneguda anomenada atac de relé utilitza targetes intel·ligents, que són bàsicament targetes de crèdit que emmagatzemen dades i utilitzen un xip NFC. Un pirata informàtic crea una targeta proxy que pot interceptar el senyal d'un talp (la targeta real). Tanmateix, fins i tot llavors, diu que hi ha d'haver un toc físic amb la targeta fraudulenta.

ID tàctil del botó d'inici de l'iphone 6Rob Shultz

Les dades robades no es vincularan al número de la vostra targeta de crèdit i un telèfon robat no es pot utilitzar per a Apple Pay sense enganyar també l'autenticació Touch ID.

Un altre analista de seguretat va dir que la falsificació de NFC és possible. Jeff Williams, CTO de Seguretat de contrast , un proveïdor de seguretat d'aplicacions web, diu que un lector àmpliament disponible que utilitza el microcontrolador Arduino pot interceptar senyals NFC d'un metre de distància o més. Diu que s'han trobat diverses explotacions per a NFC als telèfons intel·ligents.

Fitxes, no números de compte

Tot i així, fins i tot si un pirata informàtic podria enganxar les vostres dades de transacció mentre passen del vostre iPhone al terminal, obtindrien un testimoni d'un sol ús sense res per identificar-vos pel nom. Connectar-ho a les targetes de crèdit emmagatzemades de manera segura per Apple pot no ser impossible, però els experts amb qui vam parlar coincideixen que és molt més difícil que robar alguns números de targeta de crèdit.

Narang assenyala que Apple Pay utilitza un codi de compte que fa referència a un número de targeta de crèdit no emmagatzemat al telèfon, de manera que el pirata informàtic només obtindria un número de compte inútil. Aquesta tokenització és un dels punts forts del nou sistema Apple Pay i pretén dissuadir els pirates informàtics.

Apple Pay 4

Passbook mostra representacions de les vostres targetes, però els números reals de les vostres targetes no s'emmagatzemen al telèfon ni s'envien durant una transacció.

Com accedir a les fotos des de l'iPhone al Mac

Williams accepta que les dades robades d'Apple Pay probablement serien inútils. L'ús de fitxes únics en lloc de revelar la informació real de la targeta de crèdit té el potencial de fer que aquests senyals interceptats siguin inútils per als atacants. L'ús de la tecnologia Touch ID d'empremtes dactilars d'Apple afegeix una altra capa d'autenticació a la barreja, potencialment més atacs frustrants, diu.

Hoyos és una mica més incert. Afirma que és possible que els pirates informàtics relacionin fitxes de compte falsificades amb dades de targetes de crèdit emmagatzemades als servidors reals d'Apple i assenyala com a precedent la recent violació de les fotos de celebritats de les còpies de seguretat d'iCloud. (Però les dues situacions no són comparables i Apple no ha tingut robatori de comptes de targetes de crèdit abans.) Hoyos fins i tot afirma que és possible comprar una rèplica mylar d'una empremta digital i, a continuació, utilitzar-la amb Touch ID per completar transaccions, però de Per descomptat, caldria robar el telèfon i obtenir una empremta digital, i tot el pla es frustra tan bon punt la persona a qui vau robar el telèfon el desactiva com a dispositiu Apple Pay mitjançant Find My iPhone.

Apple no va respondre en el registre a les consultes sobre la seguretat d'Apple Pay, però sí que va apuntar en línia documentació per a Apple Pay que explica el procés de tokenització. Apple Pay es llança dilluns als Estats Units amb el llançament d'iOS 8.1.