¿Puedo "clonar" mi tarjeta de crédito usando el chip NFC de Nexus S y Galaxy Nexus? ¿Si no, porque no?

15

¿Puede una aplicación de Android leer los datos NFC de mi tarjeta de crédito, almacenarlos y luego enviar estos datos a un punto de pago sin contacto (PayPass)? Por lo tanto, usaría mi Nexus para pagar mi café, convenientemente.

En caso afirmativo, ¿hay una aplicación para esto? ¿Si no, porque no?

nfc William C
fuente
2
Pregunta interesante .. :)
Android Quesito
Nunca pensé en esa pregunta. ¿Qué sucede si, por ejemplo, los datos que "representan" los datos nfc se duplican o están vinculados a la identificación del dispositivo para generar una clave de cifrado? (No tengo idea ya que muchos de mis teléfonos no tienen NFC incorporado), sin embargo, esa es una buena pregunta :) +1 de mi parte :)
t0mm13b

Respuestas:

16

No puedes. Para simplificar demasiado: los pagos inalámbricos (NFC, chips RFID en tarjetas, etc.) no son una simple transacción de "cuál es el número de su tarjeta" (porque eso sería inseguro más allá de lo creíble), son más que un "aquí", encripte este bloque de datos con sus números secretos y devuélvala 'tipo de cosas

El bloque de datos a cifrar cambia para cada transacción, y (se supone que no hay) forma de hacer que el dispositivo escupe sus números secretos.

Por lo tanto, no puedes clonar FÁCILMENTE tus tarjetas en tu teléfono (si pudieras, entonces cualquiera podría caminar cerca de ti).

Eso no quiere decir que no se pueda hacer en absoluto (si, tal vez, encontró una falla en la forma en que funciona la criptografía, tal vez podría deducir los números secretos de un dispositivo), pero no es algo que vaya a comprar una aplicación para

Michael Kohne
fuente
1
Solo en una nota al margen hasta 2008 (es decir, en el Reino Unido) las transacciones solían ser del tipo "cuál es su número de tarjeta" y era posible clonar tarjetas con chip. Sin embargo, los clones solo funcionaron cuando el terminal del punto de venta no se contactó con el banco para autenticar la tarjeta.
Maní
No estoy completamente actualizado, pero lo último que escuché (el año pasado en algún momento) todavía hay problemas con el chip y el pin debido al comportamiento de recuperación especificado de los terminales: si no pueden hablar con el chip, recurrir a comportamientos más antiguos, que algunos atacantes pueden haber explotado. Eso es un error bastante desagradable a nivel de especificaciones, desafortunadamente.
Michael Kohne
Sí, si el chip está dañado, el terminal solicitará una transacción de banda magnética aún, incluso en el Reino Unido, donde no los hemos tenido durante años. Podría eliminarse por completo, pero a los bancos no parece importarles los pequeños niveles de fraude que esto podría causar.
Maní
Pero, ¿qué pasa con las tarjetas RFID / NFC normales, como las llaves para puertas? ¿Se pueden copiar y usar desde el teléfono?
Midhat
@Midhat: si está destinado a la seguridad, entonces no podrás clonarlo fácilmente (a menos que el vendedor haya sido un montón de imbéciles). Normalmente, los dispositivos que se utilizan para la seguridad NO son solo cosas de 'aquí está mi número': tienen información interna y, cuando el lector pregunta, hacen algo y devuelven una respuesta para evitar este problema. Eso no quiere decir que sea 100% infalible, pero no lo vas a sentar cerca de tu teléfono y clonarlo.
Michael Kohne
6

El hardware NFC en el Nexus S y el Galaxy Nexus es técnicamente capaz de emular una etiqueta NFC, como una tarjeta de crédito sin contacto. Así es exactamente como funciona Google Wallet . Sin embargo, no es posible clonar una tarjeta existente, debido a cómo funciona el proceso de autenticación entre la tarjeta y el terminal de pago (basado en claves criptográficas secretas). Entonces, la forma más sencilla de lograr lo que desea es instalar Google Wallet en el teléfono (viene preinstalado en el Nexus S 4G, hay varios tutoriales disponibles en la web para Nexus S y Galaxy Nexus) y cargar algo de dinero en una tarjeta prepaga de Google y listo para tomar un café.

Chico NFC
fuente
1
¿Hay alguna alternativa para personas que no son estadounidenses? Google Wallet no está disponible y Android Pay no funciona si está rooteado y demás.
kiradotee
4

Si bien las otras dos respuestas son básicamente correctas (no puede crear clones completos de tarjetas de crédito sin contacto actuales), existen escenarios de ataque que permiten crear clones limitados de tarjetas de crédito sin contacto basadas en EMV. Este documento , por ejemplo, describe un método para clonar tarjetas MasterCard PayPass al abusar de una vulnerabilidad causada por la compatibilidad con versiones anteriores de las tarjetas PayPass con un protocolo débil (criptográficamente) y la comprobación insuficiente de las transacciones en el lado del emisor de la tarjeta. Del mismo modo, este documento describe cómo abusar de la debilidad específica de las terminales de pago para crear copias limitadas de tarjetas de crédito basadas en EMV.

En combinación con la nueva función de emulación de tarjeta basada en host (HCE) de Android 4.4 (o la funcionalidad de emulación de tarjeta basada en host de CyanogenMod 9.1 y posterior), puede emular una tarjeta de crédito preimpresa con su teléfono. Sin embargo, debe tener en cuenta que ambos métodos de clonación son escenarios de ataque y pueden llevarlo a problemas legales serios ;-) Además, al menos el primer ataque rápidamente inutilizará su tarjeta de crédito original debido al drenaje del contador de transacciones.

Michael Roland
fuente
-1

Sí, puede hacerlo , utilizando Proxy NFC en 2 unidades de teléfono habilitado para NFC, uno como proxy y el otro como servidor. Esta aplicación es / fue principalmente para el investigador de seguridad para auditar y probar aplicaciones de campo cercano que utilizan RFID, MIFARE, etc. como un proyecto de código abierto, veo algunos progresos realizados por la comunidad y los desarrolladores mantienen el proyecto y actualizan el wiki para mantenerse al día con las tendencias actuales de tecnología o aplicación. Todavía estoy jugando con esto y uso mis nexus para explorar el potencial, la confiabilidad y las vulnerabilidades en las aplicaciones diarias, como las tarjetas de hotel o para activar la automatización.

sin embargo, si planea usar su tarjeta de débito / crédito, lealtad / membresía o incluso tarjetas ez-pass (para peaje / metro / autobús) en su nexus S, aplicaciones como google wallet, square wallet e isis (por nombrar un pocos) deberían ser suficientes. He usado PayPal, Google Wallet y Square Wallet para hacer y recibir el pago. Cuando se configuran, vinculan y verifican correctamente, estas aplicaciones tienen el potencial de sustituir el contenido de su billetera. es vanguardista, moderno y poderoso, pero con un gran poder conlleva una gran responsabilidad porque estas cosas sofisticadas crearán puntos débiles o una cadena débil en su seguridad y privacidad.

avísame si a ti también te interesa utilizar tu nexus S como juego de juegos. es una pieza de hardware tan interesante entre nfc, obd y sdr que siempre hay algo nuevo por descubrir con este viejo dispositivo.

harayz
fuente
2
¿Podría explicar más cómo usar esta aplicación para lograr la solicitud de OP? Se desaconseja proporcionar solo una aplicación sin ningún paso, ya que los usuarios pueden no saber cómo usarla (y pueden dañar su dispositivo). Además, leí que necesitas usar CyanogenMod para que esto funcione.
Andrew T.
ya no, ahora puedes usar otras roms.
harayz