Nexus SとGalaxy NexusのNFCチップを使用してクレジットカードを「クローン」できますか?そうでない場合は、なぜですか?


15

AndroidアプリはクレジットカードのNFCデータを読み取って保存し、このデータを非接触型支払いポイント(PayPass)に送信できますか?したがって、Nexusを使用してコーヒーの代金を支払うのが便利です。

はいの場合、このためのアプリはありますか?そうでない場合は、なぜですか?


2
興味深い質問.. :)
Android Quesito

その質問を考えたことはありません。たとえば、nfcデータを「表す」データが複製されたり、デバイスIDに関連付けられて暗号化キーが生成されたりすると、どうなりますか?(私の携帯電話の多くにはNFCが組み込まれていないので
わかり

回答:


16

いいえ、できません。簡単に言うと-ワイヤレス支払い(NFC、カード上のRFIDチップなど)は単純な「カード番号とは何ですか」トランザクションではありません(信じられないほど安全ではないため)。あなたの秘密の番号とそれを返す」ことのタイプ。

暗号化されるデータのブロックは各トランザクションごとに変化し、デバイスにその秘密番号を吐き出させる方法はありません。

そのため、カードを電話機に簡単に複製することはできません(できれば、近くにいる他の人も簡単に複製できます)。

それはまったくできないと言うことではありません(おそらく、暗号の動作方法に欠陥を見つけた場合、デバイスの秘密番号を推測することができます)のためのアプリ。


1
ちなみに、2008年まで(英国では)トランザクションは「カード番号」タイプであり、チップカードを複製することが可能でした。クローンは、POS端末が銀行に連絡してカードを認証しなかった場合にのみ機能しました。
ピーナッツ

私は完全には最新ではありませんが、最後に聞いた(昨年はいつか)端末の指定されたフォールバック動作のためにチップとピンに関する問題がまだあります-彼らはチップと話すことができない場合、彼らは一部の攻撃者が悪用した可能性のある古い動作にフォールバックします。残念ながら、これはかなり厄介な仕様レベルのバグです。
マイケルコーン

チップが破損している場合、ターミナルはまだ何年も持っていなかった英国でさえ、マグストライプ取引を要求します。それは完全に取り除くことができますが、銀行はこれが引き起こす可能性のある小さなレベルの詐欺を気にしていないようです。
ピーナッツ

しかし、ドアの鍵のような通常のRFID / NFCカードはどうでしょうか?電話からコピーして使用できますか?
ミッドハット

@Midhat-セキュリティを目的とする場合、簡単にクローンを作成することはできません(ベンダーが完全なバカでない限り)。通常、セキュリティに使用されるデバイスは、「ここにマイナンバー」のようなものではありません-内部に何らかの情報があり、読者が尋ねると、この問題を避けるために何かをして答えを返します。だからといって、それが100%確実なわけではないというわけではありませんが、携帯電話の近くに座ってクローンを作成するだけではありません。
マイケルコーネ

6

Nexus SおよびGalaxy NexusのNFCハードウェアは、非接触クレジットカードなどのNFCタグを技術的にエミュレートできます。これがまさにGoogleウォレットの仕組みです。ただし、カードと支払い端末の間の認証プロセスが(秘密暗号キーに基づいて)動作するため、既存のカードを複製することはできません。したがって、あなたが望むものを達成する最も簡単な方法は、Googleウォレットを電話にインストールすることです(Nexus S 4Gにプリインストールされています、プレーンNexus SとGalaxy Nexus用のウェブ上で様々なチュートリアルが利用可能です) Googleプリペイドカードに入れて、コーヒーを飲みに行きます。


1
米国以外の人々のための代替手段はありますか?Googleウォレットは利用できず、Androidペイメントはルート化されていても機能していません。
kiradotee

4

他の2つの答えは基本的に正しいですが(現在の非接触クレジットカードの完全なクローンを作成することはできません)、EMVベースの非接触クレジットカードの限定クローンを作成できる攻撃シナリオがあります。たとえば、このペーパーでは、PayPassカードの後方互換性に起因する脆弱性を悪用することにより、MasterCard PayPassカードのクローンを作成する方法について説明します。同様に、このペーパーでは、支払い端末の特定の弱点を悪用して、EMVベースのクレジットカードの限定コピーを作成する方法について説明します。

Android 4.4の新しいホストベースのカードエミュレーション(HCE)機能(またはCyanogenMod 9.1以降のホストベースのカードエミュレーション機能)と組み合わせて、携帯電話でプレイ済みのクレジットカードをエミュレートできます。ただし、両方のクローン作成方法は攻撃シナリオであり、深刻な法的問題につながる可能性があることに注意してください;-)さらに、少なくとも最初の攻撃では、トランザクションカウンターが空になるため、元のクレジットカードがすぐに使用できなくなります。


-1

はい、できます。2ユニットのNFC対応電話でNFCプロキシを使用します-1つはプロキシとして、もう1つはサーバーとして。このアプリケーションは、主にセキュリティ研究者がオープンソースプロジェクトとしてrfid、mifareなどを使用する近距離場アプリケーションを監査およびテストするためのものでした。コミュニティと開発者はプロジェクトを維持し、wikiを更新しています現在の技術やアプリケーションの動向に遅れずについていくため。私は現在これをいじっていますが、ネクサスを使用して、ホテルのカードなどの日常的なアプリケーションの可能性、信頼性、脆弱性を調査したり、自動化をトリガーしたりします。

ただし、デビット/クレジットカード、ロイヤルティ/メンバーシップ、またはネクサスSのez-pass(有料/地下鉄/バス用)カードを使用する場合は、Googleウォレット、スクエアウォレット、isisなどのアプリケーション(少数)で十分です。iveは、PayPal、Google Wallet、Square Walletを使用して支払いを行い、支払いを受け取ります。適切に構成、リンク、および検証された場合、これらのアプリケーションはウォレットのコンテンツを置き換える可能性があります。エッジの効いたモダンでパワフルなものですが、これらの派手なものはセキュリティとプライバシーにソフトスポットまたは弱いチェーンを作成するため、大きな力には大きな責任が伴います。

ネクサスSをプレイセットとして使用することに興味がある場合はお知らせください。これは、nfc、obd、sdrの間の非常に興味深いハードウェアです。この古いデバイスでは、常に新しい発見があります。


2
このアプリを使用してOPのリクエストを実現する方法について詳しく説明してください。ユーザーがアプリの使用方法を知らない可能性があるため(およびデバイスに損傷を与える可能性があるため)、ステップなしでアプリのみを提供することは推奨されません。また、これを機能させるにはCyanogenModを使用する必要があることを読みました。
アンドリューT.

もうない-あなたは今、他のROMを使用することができます。
harayz
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.