Posso "clonar" meu cartão de crédito usando o chip NFC do Nexus S e do Galaxy Nexus? Se não, por que não?

15

Um aplicativo Android pode ler os dados NFC do meu cartão de crédito, armazená-los e enviá-los para um ponto de pagamento sem contato (PayPass)? Assim, eu usaria meu Nexus para pagar meu café, convenientemente.

Se sim, existe um aplicativo para isso? Se não, por que não?

nfc William C
fonte
2
Pergunta interessante .. :)
Android Quesito
Nunca pensei nessa pergunta. O que acontece, se, por exemplo, os dados que "representam" os dados nfc são duplicados ou estão vinculados à identificação do dispositivo para gerar uma chave de criptografia? (Não tenho idéia como muitos dos meus aparelhos não têm NFC embutido), No entanto, essa é uma boa pergunta :) +1 de mim :)
t0mm13b

Respostas:

16

Não, você não pode. Para simplificar demais - pagamentos sem fio (NFC, chips RFID em cartões etc.) não são uma transação simples 'qual é o número do seu cartão' (porque isso seria inseguro além da crença), eles são mais um 'aqui', criptografam esse bloco de dados com seus números secretos e devolvê-lo.

O bloco de dados a ser criptografado muda para cada transação, e não há (supostamente) nenhuma maneira de fazer o dispositivo cuspir seus números secretos.

Portanto, você não pode clonar FACILMENTE seus cartões no telefone (se você puder, também poderá alguém que andou perto de você).

Isso não quer dizer que não possa ser feito (se, talvez, você encontrou uma falha no funcionamento da criptografia, você pode deduzir os números secretos de um dispositivo), mas não é algo que você estará comprando um aplicativo para.

Michael Kohne
fonte
11
Apenas em uma observação até 2008 (ish, no Reino Unido), as transações costumavam ser do tipo 'qual é o número do seu cartão' e era possível clonar cartões com chip? Os clones só funcionaram quando o terminal do ponto de venda não entrou em contato com o banco para autenticar o cartão.
Amendoim
Não estou totalmente atualizado, mas na última vez que ouvi (no ano passado) ainda existem problemas com o chip e o pino devido ao comportamento de fallback especificado dos terminais - se eles não podem falar com o chip, eles voltam a comportamentos mais antigos, que alguns invasores podem ter explorado. Esse é um bug bastante desagradável no nível de especificação, infelizmente.
Michael Kohne
Sim, se o chip estiver danificado, o terminal solicitará uma transação de tarja magnética ainda, mesmo no Reino Unido, onde não as temos há anos. Isso poderia ser completamente eliminado, mas os bancos não parecem se importar com os pequenos níveis de fraude que isso poderia causar.
Amendoim
Mas e os cartões RFID / NFC normais, como chaves para portas? eles podem ser copiados e usados ​​no telefone?
Midhat
@ Midhat - se for destinado à segurança, você não poderá cloná-lo facilmente (a menos que o fornecedor seja um bando de idiotas). Normalmente, os dispositivos usados ​​para segurança NÃO são apenas coisas do tipo 'aqui está o meu número' - eles têm algumas informações internamente e, quando o leitor pergunta, eles fazem alguma coisa e retornam uma resposta, para evitar esse problema. Isso não quer dizer que seja 100% infalível, mas você não vai simplesmente sentar perto do telefone e cloná-lo.
Michael Kohne 01/12/12
6

O hardware NFC no Nexus S e no Galaxy Nexus é tecnicamente capaz de emular uma etiqueta NFC, como um cartão de crédito sem contato. É exatamente assim que a Google Wallet funciona. No entanto, a clonagem de um cartão existente não é possível devido ao funcionamento do processo de autenticação entre o cartão e o terminal de pagamento (com base em chaves criptográficas secretas). Portanto, a maneira mais simples de realizar o que você deseja é instalar o Google Wallet no telefone (ele vem pré-instalado no Nexus S 4G, existem vários tutoriais disponíveis na Web para o Nexus S e o Galaxy Nexus) e carregamos algum dinheiro em um cartão pré-pago do Google e lá você vai tomar um café.

Cara NFC
fonte
11
Alguma alternativa para pessoas fora dos EUA por aí? A Carteira virtual do Google não está disponível e o Android Pay não funciona se estiver enraizado e outros enfeites.
Kiradotee 29/08/16
4

Enquanto as outras duas respostas estão basicamente corretas (você não pode criar clones completos de cartões de crédito sem contato atuais), existem cenários de ataque que permitem a criação de clones limitados de cartões de crédito sem contato baseados em EMV. Este documento , por exemplo, descreve um método para clonar cartões MasterCard PayPass abusando de uma vulnerabilidade causada pela compatibilidade retroativa de cartões PayPass com um protocolo (criptograficamente) fraco e verificação insuficiente de transações no lado do emissor do cartão. Da mesma forma, este documento descreve como abusar de pontos fracos específicos dos terminais de pagamento para criar cópias limitadas de cartões de crédito baseados em EMV.

Em combinação com o novo recurso de emulação de cartão baseado em host (HCE) do Android 4.4 (ou a funcionalidade de emulação de cartão baseado em host do CyanogenMod 9.1 e posterior), você pode emular um cartão de crédito pré-reproduzido com seu telefone. No entanto, você deve ter em mente que os dois métodos de clonagem são cenários de ataque e podem levar a sérios problemas legais ;-) Além disso, pelo menos o primeiro ataque rapidamente tornará seu cartão de crédito original inutilizável devido à drenagem do contador de transações.

Michael Roland
fonte
-1

Sim, você pode, usando o NFC Proxy em 2 unidades de telefone habilitado para NFC - um como proxy e outro como servidor. esta aplicação é / foi principalmente para o pesquisador de segurança auditar e testar aplicativos de campo próximo que usam rfid, mifare etc. como um projeto de código aberto, vejo alguns progressos realizados pela comunidade e os desenvolvedores mantêm o projeto e atualizam o wiki para acompanhar as tendências atuais de tecnologia ou aplicação. Atualmente, ainda estou brincando com isso e uso meus nexus s para explorar o potencial, a confiabilidade e as vulnerabilidades em aplicativos diários, como cartões de hotel ou para acionar a automação.

no entanto, se você planeja usar seus cartões de débito / crédito, lealdade / associação ou mesmo cartões ez-pass (para pedágio / metrô / ônibus) no seu nexus S, aplicativos como carteira do google, carteira quadrada e isis (para nomear um poucos) deve ser suficiente. Eu usei paypal, carteira google e carteira quadrada para fazer e receber pagamentos. Quando configurados, vinculados e verificados adequadamente, esses aplicativos têm o potencial de substituir o conteúdo da sua carteira. é ousada, moderna e poderosa, mas com grande poder vem uma grande responsabilidade, porque essas coisas sofisticadas criarão pontos fracos ou correntes fracas em sua segurança e privacidade.

entre em contato se você também estiver interessado em usar o seu nexus S como um playset. é uma peça de hardware tão interessante entre nfc, obd e sdr. Há sempre algo novo a descobrir com esse dispositivo antigo.

harayz
fonte
2
Você poderia explicar mais como usar este aplicativo para atender à solicitação do OP? Fornecer apenas um aplicativo sem etapas não é recomendável, pois os usuários podem não saber como usá-lo (e podem danificar seu dispositivo). Além disso, eu li que você precisa usar o CyanogenMod para que isso funcione.
Andrew T.
não é mais - agora você pode usar outras ROMs.
harayz