iPhoneが脱獄した場合、Apple WatchのApple Payは安全ですか?

10

脱獄がiOS 10.2で利用できるようになった場合、私はそれをインストールすることに興味があります。

Apple Payを使用しているので(時計のみ)、支払いの詳細が安全であることを知りたいのですが。クレジットカード情報はiOSのApple Watchアプリで確認できるため、データは両方のデバイス間で同期されます。

時計と携帯電話にデータが存在するため、ハッカーが私のカードの詳細を入手することは可能ですか?もしそうなら、それは最後の4桁と私の銀行プロバイダーまたはすべての詳細でしょうか?

data-synchronization  security  jailbreak  apple-watch  apple-pay 
iProgram
ソース
3
ジェイルブレイクされたデバイスにより大きなリスクをかけます。
CJ Dana 2016
なぜ脱獄したいのですか?はい、時計のすべてが携帯電話にもあります。
タイソン、
3
すばらしい質問です。私はあなたのためにいくつかの良い答えを得ることができると思います。
bmike
@Tyson私は、今それを行うことにまだ意味があるかどうかを確認するためにそれを行うことに興味があります。以前はiOS 6以下で脱獄していて、iOS 7では少し脱獄していました。携帯電話が不安定であることがわかったので、長い間脱獄していませんでした。脱獄が今より安定しているかどうかを確認したい。
iProgram
私があなたの質問/状況により直接的に応答するように私の回答を更新したことをお知らせするためのメモです。
Monomeeth

回答:

7

[編集]-この編集は私の答えを修正します:

  • より具体的には、正確なシナリオについてOPの質問に答えます
  • 本質的により一般的だった私の回答の部分を明確にすることにより、あいまいさを減らします

1. OPの正確な質問/シナリオへの回答

はい、将来の脱獄行う前にデバイス Apple Payをすでに設定しているため支払いの詳細は100%安全です。これは、カード情報がデバイスに保存されていないためです。言い換えると、データはもともとデバイス上にないため、脱獄した後でも、iPhoneからデータにアクセスされるリスクはありません。情報は単に盗むためのものではありません!

2.ジェイルブレイクしたデバイスでの暗号化とデータ保護に関するApple自身の言葉

アップルによると

安全なブートチェーン、コード署名、ランタイムプロセスのセキュリティはすべて、信頼できるコードとアプリのみがデバイスで実行できるようにするのに役立ちます。iOSには追加の暗号化およびデータ保護機能があり、セキュリティインフラストラクチャの他の部分が侵害された場合(たとえば、不正な変更が行われたデバイス上)でもユーザーデータを保護します。これは、ユーザーとIT管理者の両方に重要な利点を提供し、個人情報と企業情報を常に保護し、デバイスの盗難または紛失の場合に即座に完全にリモートワイプする方法を提供します。

出典:AppleのiOSセキュリティホワイトペーパー、2014年、p8。注:大胆な強調は、Appleのものではありません。

ご覧のとおり、Appleによると、デバイスをジェイルブレイクしても、信頼されていないコードやアプリがSecure Enclaveなどの特定の領域にアクセスすることはありません。

具体的には、Appleは次のように述べています。

Secure Enclaveは、Apple A7チップで製造されたコプロセッサーです。アプリケーションプロセッサとは別に、独自のセキュアブートとパーソナライズされたソフトウェアアップデートを利用します。また、データ保護キー管理のためのすべての暗号化操作を提供し 、カーネルが侵害された場合でもデータ保護の整合性を維持します

出典:AppleのiOSセキュリティホワイトペーパー、2014年、p5。注:大胆な強調は、Appleのものではありません。

Secure Enclaveは、AppleのA7以降のプロセッサの一部です。この飛び地はアップル特許出願20130308838に文書化されており、SEP OSと呼ばれる独自のOSも持っています。

だから、アップルによると、あなたのデータは安全です。

3. Apple Payとセキュリティに関する一般情報

Apple Payを設定するときにカード情報を入力する最良の方法は、iPhoneのカメラを使用することです。これは、カード情報がデバイスに保存されたり、フォトライブラリに保存されたりすることがないためです。言い換えれば、データはもともとデバイス上にないため、iPhoneからアクセスされるリスクはありません。

デバイスをApple Pay用に設定すると、銀行(または金融機関)がデバイスに固有のデバイスアカウント番号(DAN)を作成し、暗号化されてAppleに送信されるため、セキュアと呼ばれるデバイスに追加できます。デバイス上の要素。この要素は全くされiOSとwatchOSから分離、されるAppleのサーバーに保存されたことがない、またはiCloudにバックアップ。

また、DANは実際にはAppleによって復号化されることはなく、暗号化された形式でデバイスに配置するアクションを実行するだけであることにも注意してください。

カード情報を手動で入力する必要がある場合(つまり、iPhoneのカメラを使用する代わりに)、この情報も暗号化されてAppleサーバーに送信されます。情報は暗号化の前にiPhoneに保存されるため、理論的にはサードパーティがこれを記録する可能性がありますが、脱獄されていないデバイスでデータ(つまり、カード情報)が発生するリスクは0%です。

  • 暗号化されたメモリに保存されます
  • 非常に短い期間のみ保存されます(最大で数秒)
  • AES キーラッピングによって保護され、両側がセッションキーを確立し、AES-CCMトランスポート暗号化を使用するランダムキーを提供します。

要約すると、ハッカーがカードの詳細を取得できないことを完全に保証することは不可能だとは思いませんが、実際には、ハッカーがiPhoneからではなく、銀行のシステムに侵入したことがリスクです。

4.さらに読む:

モノミース
ソース
電話が侵害された場合、入力されたCC情報を送信できるのと同じように、撮影したカードを悪意のあるパーティーに送信できます。これはすべて、Apple Payが設定される前、または銀行がDANを作成する前です。
Constantino Tsarouhasは2016
実際には、カメラはカードの撮影に使用されておらず、カードのさまざまな「フィールド」の英数字を認識するために使用されています。しかし、私の回答を読み直すと、私の回答の意図しない曖昧さを取り除くために、私はそれを改訂する必要があると思います。実際には、デバイスがジェイルブレイクされているかどうかに関係なく、リスクは非常に低い(ほとんど不可能ですが、不可能ではありません)。今日、このトピックをカバーするアップルのホワイトペーパーを掘り下げる機会があったときに、回答を更新しますので、そこから直接引用することができます。ご意見ありがとうございます!:)
Monomeeth
また、悪意のあるソフトウェアによって作成された写真も意味しました。Apple Payセットアップが単に認識を実行している間、ルート特権のソフトウェアを実行してこっそり写真を撮ることを妨げるものは何もありません。しかし、それは悪意のあるソフトウェアです。;-)
Constantino Tsarouhas 2016
@RandyMarshより詳細な情報/ソースを提供し、表現のあいまいさを減らすために回答を更新したことをお知らせするためのメモです。
Monomeeth
この情報の更新版を提供していただきありがとうございます。スマートフォンではなく時計に保存されているにもかかわらず、iOSに下4桁と私が持っている銀行プロバイダーが表示されるのはなぜですか?つまり、あるデバイスから別のデバイスに情報が転送され、中間者攻撃につながっているのではないでしょうか。
iProgram
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.