Apakah Apple Pay di Apple Watch aman jika iPhone Jailbroken?

10

Ketika / jika Jailbreak tersedia untuk iOS 10.2, saya tertarik untuk menginstalnya.

Karena saya menggunakan Apple Pay (hanya pada jam tangan saya), saya ingin tahu bahwa detail pembayaran saya aman. Karena Anda dapat melihat informasi kartu kredit di aplikasi Apple Watch di iOS, ini berarti bahwa data disinkronkan di kedua perangkat.

Karena data ada di jam tangan dan telepon, apakah ini memungkinkan seorang peretas untuk mendapatkan detail kartu saya? Jika demikian, apakah hanya empat digit terakhir dan penyedia bank saya atau semua detail?

data-synchronization security jailbreak apple-watch apple-pay iProgram
sumber
3
Anda menempatkan diri Anda pada risiko yang lebih besar pada perangkat yang sudah di-jailbreak.
CJ Dana
Mengapa Anda ingin jailbreak? Dan ya semua yang ada di jam tangan Anda juga ada di ponsel Anda.
Tyson
3
Pertanyaan yang bagus Saya harap kami bisa mendapatkan jawaban yang bagus untuk Anda.
bmike
@Tyson Saya tertarik melakukannya untuk melihat apakah masih ada gunanya melakukannya sekarang, dan juga, hanya untuk melihat apa yang dapat Anda lakukan untuk itu. Saya biasa melakukan jailbreak <= iOS 6 dan sedikit di iOS 7. Saya tidak melakukannya untuk waktu yang lama karena saya merasa ponsel saya tidak stabil. Ingin melihat apakah jailbreaking lebih stabil sekarang.
iProgram
Hanya sebuah catatan untuk memberi tahu Anda bahwa saya telah memperbarui jawaban saya untuk lebih langsung menanggapi pertanyaan / situasi Anda.
Monomeeth

Jawaban:

7

[EDIT] - Hasil edit ini merevisi jawaban saya untuk:

  • lebih khusus menjawab pertanyaan OP untuk skenario persisnya
  • mengurangi ambiguitas dengan memperjelas bagian-bagian jawaban saya yang lebih umum

1. Jawaban untuk pertanyaan / skenario OP yang sebenarnya

Ya, detail pembayaran Anda 100% aman , karena Anda sudah mengatur Apple Pay di perangkat Anda sebelum melakukan jailbreak di masa depan. Ini karena informasi kartu Anda tidak disimpan ke perangkat. Dengan kata lain, karena data tidak pada perangkat untuk memulai, tidak ada risiko diakses dari iPhone Anda, bahkan setelah melakukan jailbreak. Informasi itu tidak ada di sana untuk mencuri!

2. Kata-kata Apple sendiri adalah enkripsi dan perlindungan data pada perangkat yang sudah di-jailbreak

Menurut Apple

Rantai boot aman, penandatanganan kode, dan keamanan proses runtime semua membantu memastikan bahwa hanya kode dan aplikasi tepercaya yang dapat berjalan di perangkat. iOS memiliki enkripsi tambahan dan fitur perlindungan data untuk melindungi data pengguna, bahkan dalam kasus di mana bagian lain dari infrastruktur keamanan telah dikompromikan (misalnya, pada perangkat dengan modifikasi yang tidak sah) . Ini memberikan manfaat penting bagi pengguna dan administrator TI, melindungi informasi pribadi dan perusahaan setiap saat dan menyediakan metode untuk penghapusan jarak jauh secara instan dan lengkap dalam kasus pencurian atau kehilangan perangkat.

Sumber: Buku Putih Keamanan Apple iOS, 2014, p8. CATATAN: Bold penekanan milikku, bukan milik Apple.

Seperti yang Anda lihat, menurut Apple, bahkan jailbreaking perangkat tidak akan menghasilkan kode yang tidak tepercaya atau aplikasi dapat mengakses area tertentu, seperti Secure Enclave.

Lebih khusus lagi, Apple menyatakan:

Secure Enclave adalah coprocessor yang dibuat dalam chip Apple A7. Itu menggunakan boot aman sendiri dan pembaruan perangkat lunak yang dipersonalisasi terpisah dari prosesor aplikasi. Ini juga menyediakan semua operasi kriptografi untuk manajemen kunci Perlindungan Data dan menjaga integritas Perlindungan Data bahkan jika kernel telah dikompromikan .

Sumber: White Paper Keamanan iOS Apple, 2014, p5. CATATAN: Bold penekanan milikku, bukan milik Apple.

Enklave Aman adalah bagian dari A7 Apple dan prosesor yang lebih baru. Kantung ini didokumentasikan dalam Aplikasi Paten Apple 20130308838 dan juga memiliki OS sendiri yang disebut SEP OS.

Jadi, menurut Apple, data Anda aman.

3. Info umum tentang Apple Pay dan keamanan

Cara terbaik untuk memasukkan informasi kartu Anda saat mengatur Apple Pay adalah dengan menggunakan kamera iPhone Anda. Ini karena hal itu berarti informasi kartu Anda tidak pernah disimpan ke perangkat atau disimpan ke perpustakaan foto. Dengan kata lain, karena data tidak pada perangkat untuk memulai, tidak ada risiko diakses dari iPhone Anda.

Setelah mengatur perangkat Anda untuk Apple Pay, bank Anda (atau lembaga keuangan) membuat Nomor Akun Perangkat (DAN) yang unik untuk perangkat Anda dan dienkripsi dan dikirim ke Apple sehingga mereka dapat menambahkannya ke apa yang disebut sebagai Secure. Elemen pada perangkat Anda. Ini elemen benar-benar terisolasi dari iOS dan watchOS , yang tidak pernah disimpan di server Apple , atau mundur ke iCloud.

Penting juga untuk dicatat bahwa DAN tidak pernah benar-benar didekripsi oleh Apple, mereka hanya melakukan tindakan menempatkannya di perangkat Anda dalam bentuk terenkripsi.

Jika Anda harus secara manual memasukkan informasi kartu Anda (yaitu alih-alih menggunakan kamera iPhone Anda), informasi ini juga dienkripsi dan dikirim ke server Apple. Karena informasi disimpan di iPhone Anda sebelum enkripsi, secara teori dimungkinkan pihak ketiga dapat mencatat ini, tetapi risiko hal ini terjadi pada perangkat yang tidak di-jailbreak adalah 0% karena data (yaitu info kartu Anda):

  • disimpan dalam memori terenkripsi
  • hanya disimpan untuk waktu yang sangat singkat (paling tidak beberapa detik)
  • dilindungi oleh pembungkus kunci AES dengan kedua sisi menyediakan kunci acak yang menetapkan kunci sesi dan menggunakan enkripsi transport AES-CCM .

Singkatnya, saya tidak berpikir itu mungkin untuk sepenuhnya 100% menjamin bahwa seorang hacker tidak akan pernah dapat mengambil kembali rincian kartu Anda, tetapi pada kenyataannya risiko dari kejadian ini sebenarnya berasal dari seorang hacker yang melanggar sistem bank Anda, bukan dari iPhone Anda.

4. Bacaan lebih lanjut:

Monomeeth
sumber
Jika ponsel terganggu, kartu yang difoto dapat dikirim ke pihak jahat seperti halnya informasi CC yang diketik dapat dikirim. Ini semua sebelum Apple Pay bahkan diatur atau bank mana pun menciptakan DAN.
Constantino Tsarouhas
Sebenarnya, kamera tidak digunakan untuk memotret kartu, itu digunakan untuk mengenali karakter alfanumerik di berbagai 'bidang' kartu. Namun, setelah membaca kembali jawaban saya, saya merasa saya harus merevisinya untuk menghilangkan ambiguitas yang tidak disengaja dalam tanggapan saya. Kenyataannya adalah bahwa risikonya sangat rendah ( hampir tidak mungkin, tetapi bukan tidak mungkin) terlepas dari apakah perangkat di-jailbreak atau tidak. Saya akan memperbarui jawaban saya hari ini ketika saya memiliki kesempatan untuk menggali kertas putih Apple yang membahas topik ini, jadi saya bisa mengutip langsung darinya. Terima kasih atas komentar Anda! :)
Monomeeth
Maksud saya juga foto yang dibuat oleh perangkat lunak berbahaya. Tidak ada yang mencegah menjalankan peranti lunak khusus root untuk mengambil foto secara diam-diam sementara pengaturan Apple Pay hanya melakukan pengenalan. Tapi itu perangkat lunak berbahaya untukmu. ;-)
Constantino Tsarouhas
@RandyMarsh Hanya sebuah catatan untuk memberi tahu Anda bahwa saya telah memperbarui jawaban saya untuk memberikan info / sumber yang lebih rinci dan untuk mengurangi ambiguitas dalam kata-kata saya.
Monomeeth
Terima kasih telah menyediakan versi terbaru dari informasi ini. Mengapa iOS menunjukkan empat digit terakhir dan penyedia bank yang saya miliki, meskipun disimpan di jam tangan saya dan bukan di telepon? Bukankah itu berarti bahwa beberapa informasi sedang ditransfer dari satu perangkat ke perangkat lainnya, yang mengarah ke seorang pria di tengah serangan?
iProgram