Dapatkah saya "mengkloning" kartu kredit saya menggunakan chip NFC Nexus S dan Galaxy Nexus? Jika tidak, mengapa tidak?

15

Bisakah aplikasi android membaca data NFC kartu kredit saya, menyimpannya dan kemudian mengirim data ini ke titik pembayaran tanpa kontak (PayPass)? Jadi saya akan menggunakan Nexus saya untuk membayar kopi saya dengan nyaman.

Jika ya, apakah ada aplikasi untuk ini? Jika tidak, mengapa tidak?

nfc William C
sumber
2
Pertanyaan menarik .. :)
Android Quesito
Tidak pernah memikirkan pertanyaan itu. Apa yang terjadi, jika katakanlah, data yang "mewakili" data nfc akan diduplikasi, atau yang terkait dengan id perangkat untuk menghasilkan kunci enkripsi? (Tidak tahu karena banyak handset saya tidak memiliki NFC
bawaan

Jawaban:

16

Tidak bisa. Untuk menyederhanakan - pembayaran nirkabel (NFC, chip RFID pada kartu, dll) bukan transaksi sederhana 'apa nomor kartu Anda' (karena itu akan menjadi tidak aman di luar kepercayaan), mereka lebih dari 'di sini, mengenkripsi blok data ini dengan nomor rahasia Anda dan kembalikan seperti itu.

Blok data yang akan dienkripsi perubahan untuk setiap transaksi, dan (seharusnya) tidak ada cara untuk mendapatkan perangkat untuk memuntahkan nomor rahasia itu.

Jadi, Anda tidak dapat dengan mudah mengkloning kartu Anda ke telepon Anda (jika Anda bisa, maka bisa juga orang lain yang berjalan di dekat Anda).

Itu bukan untuk mengatakan itu tidak dapat dilakukan sama sekali (jika, mungkin, Anda menemukan kesalahan dalam cara crypto bekerja, Anda mungkin dapat menyimpulkan nomor rahasia perangkat), tetapi itu bukan sesuatu yang akan Anda beli aplikasi untuk.

Michael Kohne
sumber
1
Hanya pada sisi catatan hingga 2008 (ish, di Inggris) transaksi memang digunakan menjadi tipe 'apa nomor kartu Anda' dan dimungkinkan untuk mengkloning kartu chip. Klon hanya berfungsi ketika terminal penjualan tidak menghubungi bank untuk mengotentikasi kartu.
Kacang
Saya tidak sepenuhnya terkini, tetapi yang terakhir saya dengar (tahun lalu kadang-kadang) masih ada masalah dengan chip-and-pin karena perilaku fallback terminal yang ditentukan - jika mereka tidak dapat berbicara dengan chip, mereka kembali ke perilaku lama, yang mungkin dieksploitasi oleh beberapa penyerang. Sayangnya, itu adalah bug tingkat spec yang jahat.
Michael Kohne
Ya jika chip rusak maka terminal akan meminta transaksi mag stripe masih, bahkan di Inggris di mana kita belum memilikinya selama bertahun-tahun. Itu bisa dihilangkan sepenuhnya tetapi bank-bank sepertinya tidak keberatan dengan tingkat penipuan yang kecil ini dapat menyebabkan.
Kacang
Tetapi bagaimana dengan kartu RFID / NFC normal, seperti kunci pintu? dapatkah mereka disalin dan digunakan dari telepon?
Midhat
@ Madhat - jika ini dimaksudkan untuk keamanan, maka Anda tidak akan dapat dengan mudah mengkloningnya (kecuali jika vendornya adalah sekelompok orang tolol). Biasanya perangkat yang digunakan untuk keamanan BUKAN hanya hal-hal 'inilah nomor saya' - mereka memiliki beberapa info secara internal, dan ketika pembaca bertanya, mereka melakukan sesuatu dan mengembalikan jawaban, sehingga hanya untuk menghindari masalah ini. Itu bukan untuk mengatakan bahwa itu 100% sangat mudah, tetapi Anda tidak akan hanya duduk di dekat telepon Anda dan mengkloningnya.
Michael Kohne
6

Perangkat keras NFC di Nexus S dan Galaxy Nexus secara teknis mampu meniru tag NFC seperti kartu kredit tanpa kontak. Beginilah cara Google Wallet bekerja. Namun, kloning kartu yang ada tidak dimungkinkan, karena cara proses otentikasi antara kartu dan terminal pembayaran bekerja (berdasarkan kunci kriptografi rahasia). Jadi cara paling sederhana untuk mencapai apa yang Anda inginkan adalah menginstal Google Wallet di ponsel (ini sudah diinstal sebelumnya pada Nexus S 4G, ada berbagai tutorial yang tersedia di web untuk Nexus S dan Galaxy Nexus) dan memuat sejumlah uang dalam kartu prabayar Google dan pergilah untuk minum kopi.

Pria NFC
sumber
1
Adakah alternatif untuk orang non-AS di luar sana? Google Wallet tidak tersedia dan Android Pay tidak berfungsi jika di-rooting dan yang lainnya.
kiradotee
4

Walaupun dua jawaban lainnya pada dasarnya benar (Anda tidak dapat membuat klon penuh kartu kredit tanpa kontak saat ini), ada skenario serangan yang memungkinkan pembuatan klon terbatas kartu kredit tanpa kontak berbasis EMV. Makalah ini , misalnya, menjelaskan metode untuk mengkloning kartu MasterCard PayPass dengan menyalahgunakan kerentanan yang disebabkan oleh kompatibilitas mundur kartu PayPass dengan protokol yang lemah (secara kriptografis) dan pengecekan transaksi yang kurang di sisi penerbit kartu. Demikian pula, makalah ini menjelaskan cara menyalahgunakan kelemahan spesifik terminal pembayaran untuk membuat salinan terbatas kartu kredit berbasis EMV.

Dalam kombinasi dengan fitur emulasi kartu berbasis host (HCE) baru dari Android 4.4 (atau fungsionalitas emulasi kartu berbasis host dari CyanogenMod 9.1 dan yang lebih baru), Anda dapat meniru kartu kredit yang sudah dimainkan sebelumnya dengan ponsel Anda. Namun, Anda harus ingat bahwa kedua metode kloning adalah skenario serangan dan dapat membawa Anda ke masalah hukum serius ;-) Selain itu, setidaknya serangan pertama akan dengan cepat membuat kartu kredit asli Anda tidak dapat digunakan karena menguras konter transaksi.

Michael Roland
sumber
-1

Ya Anda bisa, menggunakan NFC Proxy pada 2 unit ponsel yang mengaktifkan NFC - satu sebagai proxy dan yang lainnya sebagai server. aplikasi ini adalah / terutama untuk peneliti keamanan untuk mengaudit dan menguji aplikasi near-field yang menggunakan rfid, mifare, dll. sebagai proyek open source, saya melihat beberapa kemajuan yang dibuat oleh komunitas dan pengembang melakukan pemeliharaan proyek dan memperbarui wiki untuk mengikuti tren teknologi atau aplikasi saat ini. Saat ini saya masih bermain-main dengan ini dan menggunakan nexus s saya untuk mengeksplorasi potensi, keandalan dan vulnarabilitas dalam aplikasi sehari-hari seperti kartu hotel atau untuk memicu otomatisasi.

namun, jika Anda berencana untuk menggunakan kartu debit / kredit, loyalitas / keanggotaan atau bahkan kartu pass (untuk tol / kereta bawah tanah / bus) Anda di nexus S Anda, aplikasi seperti dompet Google, dompet kotak dan isis (untuk menyebutkan nama sedikit) harus mencukupi. ive digunakan paypal, google wallet, dan square wallet untuk melakukan dan menerima pembayaran. bila dikonfigurasi dengan benar, ditautkan, dan diverifikasi, aplikasi ini berpotensi untuk menggantikan konten dompet Anda. itu edgy, modern dan kuat tetapi dengan kekuatan besar datang tanggung jawab besar karena hal-hal mewah-schmancy ini akan menciptakan titik lemah atau rantai lemah pada keamanan dan privasi Anda.

beri tahu saya jika Anda juga tertarik untuk menggunakan nexus S Anda sebagai playset. itu adalah bagian yang menarik dari perangkat keras antara nfc, obd dan sdr selalu ada hal baru untuk ditemukan dengan perangkat lama ini.

harayz
sumber
2
Bisakah Anda menjelaskan lebih lanjut bagaimana menggunakan aplikasi ini untuk mencapai permintaan OP? Hanya menyediakan aplikasi tanpa langkah apa pun tidak disarankan karena pengguna mungkin tidak tahu cara menggunakannya (dan dapat merusak perangkat mereka). Juga, saya membaca bahwa Anda perlu menggunakan CyanogenMod agar ini berfungsi.
Andrew T.
tidak lagi - sekarang Anda dapat menggunakan ROM lain.
harayz