O Apple Pay no Apple Watch é seguro se o iPhone for Jailbroken?

10

Quando / se um Jailbreak estiver disponível para iOS 10.2, estou interessado em instalá-lo.

Como uso o Apple Pay (apenas no meu relógio), gostaria de saber que meus detalhes de pagamento estão seguros. Como você pode ver as informações do seu cartão de crédito no aplicativo Apple Watch no iOS, isso significa que os dados são sincronizados nos dois dispositivos.

Como os dados estão no relógio e no telefone, isso permitiria a um hacker obter os detalhes do meu cartão? Em caso afirmativo, seriam apenas os últimos quatro dígitos e meu provedor de banco ou todos os detalhes?

data-synchronization security jailbreak apple-watch apple-pay iProgram
fonte
3
Você se arrisca em um dispositivo com jailbreak.
CJ Dana
Por que você quer fazer o jailbreak? E sim, tudo no seu relógio também está no seu telefone.
Tyson
3
Ótima pergunta. Espero que possamos obter boas respostas para você.
bmike
@ Tyson Estou interessado em fazê-lo para ver se ainda há sentido em fazê-lo agora, bem como, apenas para ver o que você pode fazer. Eu costumava fazer jailbreak <= iOS 6 e um pouco no iOS 7. Não fazia isso há muito tempo desde que achava meu telefone instável. Deseja ver se o jailbreak é mais estável agora.
IPrograma
Apenas uma observação para informar que eu atualizei minha resposta para responder mais diretamente à sua pergunta / situação.
Monomeeth

Respostas:

7

[EDIT] - Esta edição revisa minha resposta para:

  • mais especificamente, responda à pergunta do OP quanto ao cenário exato
  • reduzir a ambiguidade, tornando mais claras as partes da minha resposta de natureza mais geral

1. Responda à pergunta / cenário exato do OP

Sim, seus detalhes de pagamento são 100% seguros , pois você já configurou o Apple Pay em seus dispositivos antes de realizar um jailbreak no futuro. Isso ocorre porque as informações do cartão não são salvas no dispositivo. Em outras palavras, como os dados não estão no dispositivo, não há risco de serem acessados ​​no seu iPhone, mesmo depois de fazer um jailbreak. A informação simplesmente não existe para roubar!

2. As próprias palavras da Apple re criptografia e proteção de dados em dispositivos jailbroken

De acordo com a Apple

A cadeia de inicialização segura, a assinatura de código e a segurança do processo de tempo de execução ajudam a garantir que apenas aplicativos e códigos confiáveis ​​possam ser executados em um dispositivo. O iOS possui recursos adicionais de criptografia e proteção de dados para proteger os dados do usuário, mesmo nos casos em que outras partes da infraestrutura de segurança foram comprometidas (por exemplo, em um dispositivo com modificações não autorizadas) . Isso fornece benefícios importantes para usuários e administradores de TI, protegendo informações pessoais e corporativas o tempo todo e fornecendo métodos para limpeza remota instantânea e completa em caso de roubo ou perda de dispositivo.

Fonte: White paper de segurança para iOS da Apple, 2014, p8. NOTA: ênfase em negrito é minha, não da Apple.

Como você pode ver, de acordo com a Apple, mesmo o jailbreak de um dispositivo não resultará no código ou aplicativos não confiáveis ​​capazes de acessar determinadas áreas, como o Secure Enclave.

Mais especificamente, a Apple afirma:

O Secure Enclave é um coprocessador fabricado no chip Apple A7. Ele utiliza sua própria inicialização segura e atualização de software personalizada separada do processador do aplicativo. Ele também fornece todas as operações criptográficas para o gerenciamento de chaves do Data Protection e mantém a integridade do Data Protection, mesmo que o kernel tenha sido comprometido .

Fonte: White paper de segurança para iOS da Apple, 2014, p5. NOTA: ênfase em negrito é minha, não da Apple.

O Secure Enclave faz parte dos processadores A7 e posteriores da Apple. Este enclave está documentado no pedido de patente Apple 20130308838 e também possui seu próprio sistema operacional chamado SEP OS.

Portanto, de acordo com a Apple, seus dados estão seguros.

3. Informações gerais sobre o Apple Pay e segurança

A melhor maneira de inserir as informações do seu cartão ao configurar o Apple Pay é usar a câmera do seu iPhone. Isso ocorre porque isso significa que as informações do cartão nunca são salvas no dispositivo ou armazenadas na biblioteca de fotos. Em outras palavras, como os dados não estão no dispositivo, não há risco de serem acessados ​​no seu iPhone.

Depois de configurar seu dispositivo para o Apple Pay, seu banco (ou instituição financeira) cria um Número de conta de dispositivo (DAN) exclusivo para o dispositivo, criptografado e enviado à Apple para que ele possa ser adicionado ao que é chamado de Secure Elemento no seu dispositivo. Esse elemento é totalmente isolado do iOS e do watchOS , nunca é armazenado nos servidores da Apple , nem é copiado no iCloud.

É importante observar também que o DAN nunca é realmente descriptografado pela Apple, eles apenas realizam a ação de colocá-lo no seu dispositivo em sua forma criptografada.

Se você precisar inserir manualmente as informações do cartão (ou seja, em vez de usar a câmera do iPhone), essas informações também serão criptografadas e enviadas aos servidores da Apple. Como as informações são armazenadas no seu iPhone antes da criptografia, é teoricamente possível que terceiros possam registrar isso, mas o risco de isso acontecer em um dispositivo sem jailbreak é de 0% porque os dados (ou seja, as informações do seu cartão):

  • é armazenado na memória criptografada
  • armazenado apenas por um período muito curto (alguns segundos no máximo)
  • é protegido pelo agrupamento de chaves AES com os dois lados, fornecendo uma chave aleatória que estabelece a chave da sessão e usa a criptografia de transporte AES-CCM .

Em resumo, não creio que seja possível garantir 100% absolutamente de que um hacker nunca possa recuperar os detalhes do seu cartão, mas, na realidade, o risco disso acontecer é na verdade um hacker violar os sistemas do seu banco, e não o seu iPhone.

4. Leitura adicional:

Monomeeth
fonte
Se o telefone estiver comprometido, qualquer cartão fotografado poderá ser enviado a terceiros mal-intencionados, assim como qualquer informação de CC digitada. Isso é tudo antes da criação do Apple Pay ou de qualquer banco criar um DAN.
Constantino Tsarouhas
Na verdade, a câmera não está sendo usada para fotografar o cartão, está sendo usada para reconhecer os caracteres alfanuméricos nos vários 'campos' do cartão. No entanto, ao reler minha resposta, sinto que devo revisá-la para remover qualquer ambiguidade não intencional em minha resposta. A realidade é que o risco é extremamente baixo ( quase impossível, mas não impossível), independentemente de o dispositivo estar com jailbreak ou não. Atualizarei minha resposta ainda hoje, quando tiver a chance de descobrir um white paper da Apple que cubra esse tópico, para que eu possa citá-lo diretamente. Obrigado por seu comentário! :)
Monomeeth
Eu também quis dizer fotografias feitas pelo software malicioso. Nada impede a execução de um software com privilégios de root para tirar fotos sorrateiramente enquanto a instalação do Apple Pay apenas realiza o reconhecimento. Mas esse é um software malicioso para você. ;-)
Constantino Tsarouhas
@RandyMarsh Apenas uma observação para informar que eu atualizei minha resposta para fornecer informações / fontes mais detalhadas e reduzir qualquer ambiguidade na minha redação.
Monomeeth
Obrigado por fornecer uma versão atualizada dessas informações. Por que o iOS mostra os últimos quatro dígitos e o provedor do banco que eu tenho, mesmo estando armazenado no meu relógio e não no telefone? Isso não significa que algumas informações estão sendo transferidas de um dispositivo para outro, levando a um homem no meio do ataque?
IProgram