Ist Apple Pay auf Apple Watch sicher, wenn das iPhone Jailbroken ist?

10

Wenn ein Jailbreak für iOS 10.2 verfügbar wird, möchte ich ihn installieren.

Da ich Apple Pay verwende (nur auf meiner Uhr), möchte ich wissen, dass meine Zahlungsdaten sicher sind. Da Sie Ihre Kreditkarteninformationen in der Apple Watch-App unter iOS sehen können, bedeutet dies, dass die Daten auf beiden Geräten synchronisiert werden.

Würde es einem Hacker aufgrund der Daten auf der Uhr und dem Telefon möglich sein, meine Kartendaten abzurufen? Wenn ja, wären es nur die letzten vier Ziffern und mein Bankanbieter oder alle Details?

data-synchronization  security  jailbreak  apple-watch  apple-pay 
iProgramm
quelle
3
Sie setzen sich einem größeren Risiko für ein Gerät mit Jailbreak aus.
CJ Dana
Warum willst du Jailbreak? Und ja, alles auf Ihrer Uhr befindet sich auch auf Ihrem Telefon.
Tyson
3
Gute Frage. Ich hoffe, wir können einige gute Antworten für Sie bekommen.
bmike
@Tyson Ich bin daran interessiert, es zu tun, um zu sehen, ob es jetzt noch Sinn macht, es zu tun, und nur um zu sehen, was Sie damit machen können. Ich habe <= iOS 6 und ein kleines bisschen unter iOS 7 jailbreaken können. Ich habe es lange nicht mehr gemacht, seit ich festgestellt habe, dass mein Telefon instabil ist. Möchten Sie sehen, ob Jailbreaking jetzt stabiler ist?
iProgramm
Nur eine Notiz, um Sie wissen zu lassen, dass ich meine Antwort aktualisiert habe, um direkter auf Ihre Frage / Situation zu antworten.
Monomeeth

Antworten:

7

[BEARBEITEN] - Diese Bearbeitung überarbeitet meine Antwort auf:

  • Beantworten Sie genauer die Frage des OP nach ihrem genauen Szenario
  • Reduzieren Sie Mehrdeutigkeiten, indem Sie die allgemeineren Teile meiner Antwort klarer machen

1. Beantworten Sie die genaue Frage / das Szenario von OP

Ja, Ihre Zahlungsdaten sind 100% sicher , da Sie Apple Pay bereits auf Ihren Geräten eingerichtet haben, bevor Sie in Zukunft einen Jailbreak durchführen. Dies liegt daran, dass Ihre Karteninformationen nicht auf dem Gerät gespeichert werden. Mit anderen Worten, da die Daten zunächst nicht auf dem Gerät gespeichert sind, besteht auch nach einem Jailbreak kein Risiko, dass Sie von Ihrem iPhone aus darauf zugreifen. Die Informationen sind einfach nicht zum Stehlen da!

2. Apples eigene Worte beziehen sich auf Verschlüsselung und Datenschutz auf Geräten mit Jailbreak

Laut Apple

Die sichere Startkette, die Codesignatur und die Sicherheit des Laufzeitprozesses tragen dazu bei, dass nur vertrauenswürdiger Code und Apps auf einem Gerät ausgeführt werden können. iOS verfügt über zusätzliche Verschlüsselungs- und Datenschutzfunktionen, um Benutzerdaten zu schützen, selbst wenn andere Teile der Sicherheitsinfrastruktur gefährdet sind (z. B. auf einem Gerät mit nicht autorisierten Änderungen) . Dies bietet sowohl Benutzern als auch IT-Administratoren wichtige Vorteile, schützt jederzeit persönliche und Unternehmensinformationen und bietet Methoden für die sofortige und vollständige Remote-Löschung bei Diebstahl oder Verlust von Geräten.

Quelle: Apples iOS Security White Paper, 2014, S. 8. HINWEIS: Meine Betonung ist fett, nicht die von Apple.

Wie Sie sehen können, führt laut Apple ein Jailbreak eines Geräts nicht dazu, dass nicht vertrauenswürdiger Code oder Apps auf bestimmte Bereiche wie die Secure Enclave zugreifen können.

Insbesondere stellt Apple fest:

Die Secure Enclave ist ein Coprozessor aus dem Apple A7-Chip. Es verwendet einen eigenen sicheren Start und ein personalisiertes Software-Update, das vom Anwendungsprozessor getrennt ist. Es bietet auch alle kryptografischen Vorgänge für die Verwaltung von Datenschutzschlüsseln und behält die Integrität des Datenschutzes bei, selbst wenn der Kernel kompromittiert wurde .

Quelle: Apples iOS Security White Paper, 2014, S. 5. HINWEIS: Meine Betonung ist fett, nicht die von Apple.

Die Secure Enclave ist Teil der A7- und späteren Prozessoren von Apple. Diese Enklave ist in der Apple-Patentanmeldung 20130308838 dokumentiert und hat auch ein eigenes Betriebssystem namens SEP OS.

Laut Apple sind Ihre Daten also sicher.

3. Allgemeine Informationen zu Apple Pay und Sicherheit

Die beste Möglichkeit, Ihre Karteninformationen beim Einrichten von Apple Pay einzugeben, ist die Verwendung der Kamera Ihres iPhones. Dies liegt daran, dass Ihre Karteninformationen niemals auf dem Gerät gespeichert oder in der Fotobibliothek gespeichert werden. Mit anderen Worten, da die Daten zunächst nicht auf dem Gerät gespeichert sind, besteht kein Risiko, dass Sie von Ihrem iPhone aus darauf zugreifen.

Sobald Sie Ihr Gerät für Apple Pay eingerichtet haben, erstellt Ihre Bank (oder Ihr Finanzinstitut) eine Gerätekontonummer (DAN), die für Ihr Gerät eindeutig ist und verschlüsselt und an Apple gesendet wird, damit sie sie dem so genannten Secure hinzufügen können Element auf Ihrem Gerät. Dieses Element ist vollständig von iOS und watchOS isoliert , wird niemals auf Apples Servern gespeichert oder in iCloud gesichert.

Es ist auch wichtig zu beachten, dass der DAN von Apple niemals tatsächlich entschlüsselt wird. Er führt lediglich die Aktion aus, ihn in verschlüsselter Form auf Ihrem Gerät zu platzieren.

Wenn Sie Ihre Karteninformationen manuell eingeben müssen (dh anstatt die Kamera Ihres iPhones zu verwenden), werden diese Informationen ebenfalls verschlüsselt und an Apple-Server gesendet. Da die Informationen vor der Verschlüsselung auf Ihrem iPhone gespeichert werden, ist es theoretisch möglich, dass ein Dritter dies protokolliert. Das Risiko, dass dies auf einem Gerät ohne Jailbreak auftritt, beträgt jedoch 0%, da die Daten (dh Ihre Karteninformationen):

  • wird in einem verschlüsselten Speicher gespeichert
  • nur für einen sehr kurzen Zeitraum gespeichert (höchstens einige Sekunden)
  • wird durch AES- Schlüsselumhüllung geschützt, wobei beide Seiten einen zufälligen Schlüssel bereitstellen, der den Sitzungsschlüssel erstellt und die AES-CCM- Transportverschlüsselung verwendet.

Zusammenfassend glaube ich nicht, dass es absolut 100% ig möglich ist, zu garantieren, dass ein Hacker Ihre Kartendaten niemals abrufen kann, aber in Wirklichkeit besteht das Risiko dafür tatsächlich darin, dass ein Hacker stattdessen die Systeme Ihrer Bank verletzt und nicht von Ihrem iPhone.

4. Weiterführende Literatur:

Monomeeth
quelle
Wenn das Telefon kompromittiert ist, kann jede fotografierte Karte an böswillige Parteien gesendet werden, genauso wie alle eingegebenen CC-Informationen gesendet werden können. Dies ist alles, bevor Apple Pay überhaupt eingerichtet wird oder eine Bank einen DAN erstellt.
Constantino Tsarouhas
Tatsächlich wird die Kamera nicht zum Fotografieren der Karte verwendet, sondern zum Erkennen der alphanumerischen Zeichen in den verschiedenen "Feldern" der Karte. Beim erneuten Lesen meiner Antwort sollte ich sie jedoch überarbeiten, um unbeabsichtigte Unklarheiten in meiner Antwort zu beseitigen. Die Realität ist, dass das Risiko extrem gering ist ( fast unmöglich, aber nicht unmöglich), unabhängig davon, ob das Gerät einen Jailbreak aufweist oder nicht. Ich werde meine Antwort später heute aktualisieren, wenn ich Gelegenheit hatte, ein Apple Whitepaper zu diesem Thema zu lesen, damit ich direkt daraus zitieren kann. Vielen Dank für Ihren Kommentar! :)
Monomeeth
Ich meinte auch Fotos, die von der schädlichen Software gemacht wurden. Nichts hindert das Ausführen von Software mit Root-Rechten daran, schnell Bilder aufzunehmen, während das Apple Pay-Setup nur die Erkennung durchführt. Aber das ist bösartige Software für dich. ;-)
Constantino Tsarouhas
@RandyMarsh Nur eine Anmerkung, um Sie wissen zu lassen, dass ich meine Antwort aktualisiert habe, um detailliertere Informationen / Quellen bereitzustellen und Unklarheiten in meinem Wortlaut zu verringern.
Monomeeth
Vielen Dank, dass Sie eine aktualisierte Version dieser Informationen bereitgestellt haben. Warum zeigt iOS die letzten vier Ziffern und den Bankanbieter an, den ich habe, obwohl er auf meiner Uhr und nicht auf dem Telefon gespeichert ist? Würde das nicht bedeuten, dass einige Informationen von einem Gerät auf das andere übertragen werden, was zu einem Mann im mittleren Angriff führt?
iProgramm
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.