¿Es seguro Apple Pay en Apple Watch si el iPhone tiene Jailbreak?

10

Cuando / si un Jailbreak está disponible para iOS 10.2, estoy interesado en instalarlo.

Como uso Apple Pay (solo en mi reloj), me gustaría saber que mis datos de pago están seguros. Como puede ver la información de su tarjeta de crédito en la aplicación Apple Watch en iOS, esto significa que los datos se sincronizan en ambos dispositivos.

Debido a que los datos están en el reloj y en el teléfono, ¿esto permitiría que un hacker obtenga los detalles de mi tarjeta? Si es así, ¿serían solo los últimos cuatro dígitos y mi proveedor bancario o todos los detalles?

data-synchronization security jailbreak apple-watch apple-pay iProgram
fuente
3
Te arriesgas más en un dispositivo con jailbreak.
CJ Dana
¿Por qué quieres hacer jailbreak? Y sí, todo en su reloj también está en su teléfono.
Tyson
3
Gran pregunta Espero que podamos obtener algunas buenas respuestas para usted.
bmike
@Tyson Estoy interesado en hacerlo para ver si todavía tiene sentido hacerlo ahora, así como para ver qué puedes hacer con él. Solía ​​hacer jailbreak <= iOS 6 y un poco en iOS 7. No lo hice durante mucho tiempo desde que encontré que mi teléfono era inestable. Quiere ver si el jailbreak es más estable ahora.
iProgram
Solo una nota para hacerle saber que he actualizado mi respuesta para responder más directamente a su pregunta / situación.
Monomeeth

Respuestas:

7

[EDITAR] - Esta edición revisa mi respuesta a:

  • responda más específicamente la pregunta del OP para su escenario exacto
  • reducir la ambigüedad al aclarar las partes de mi respuesta que eran de naturaleza más general

1. Respuesta a la pregunta / escenario exacto de OP

Sí, sus detalles de pago son 100% seguros , ya que ya configuró Apple Pay en sus dispositivos antes de hacer un jailbreak en el futuro. Esto se debe a que la información de su tarjeta no se guarda en el dispositivo. En otras palabras, dado que los datos no están en el dispositivo para empezar, no hay riesgo de que se acceda desde su iPhone, incluso después de hacer un jailbreak. ¡La información simplemente no está allí para robar!

2. Las propias palabras de Apple sobre cifrado y protección de datos en dispositivos con jailbreak

De acuerdo con Apple

La cadena de arranque segura, la firma de código y la seguridad del proceso de tiempo de ejecución ayudan a garantizar que solo el código y las aplicaciones de confianza puedan ejecutarse en un dispositivo. iOS tiene funciones adicionales de encriptación y protección de datos para proteger los datos del usuario, incluso en los casos en que otras partes de la infraestructura de seguridad se hayan visto comprometidas (por ejemplo, en un dispositivo con modificaciones no autorizadas) . Esto proporciona importantes beneficios tanto para los usuarios como para los administradores de TI, ya que protege la información personal y corporativa en todo momento y proporciona métodos para el borrado remoto instantáneo y completo en caso de robo o pérdida del dispositivo.

Fuente: Informe de seguridad de iOS de Apple, 2014, p8. NOTA: El énfasis en negrita es mío, no de Apple.

Como puede ver, según Apple, incluso el jailbreak de un dispositivo no dará como resultado que el código o las aplicaciones no confiables puedan acceder a ciertas áreas, como Secure Enclave.

Más específicamente, Apple afirma:

Secure Enclave es un coprocesador fabricado en el chip Apple A7. Utiliza su propio arranque seguro y una actualización de software personalizada separada del procesador de la aplicación. También proporciona todas las operaciones criptográficas para la gestión de claves de Protección de datos y mantiene la integridad de la Protección de datos incluso si el núcleo se ha visto comprometido .

Fuente: Informe de seguridad de iOS de Apple, 2014, p5. NOTA: El énfasis en negrita es mío, no de Apple.

Secure Enclave es parte de los procesadores A7 de Apple y posteriores. Este enclave está documentado en la solicitud de patente de Apple 20130308838 y también tiene su propio sistema operativo llamado SEP OS.

Entonces, según Apple, sus datos están seguros.

3. Información general sobre Apple Pay y seguridad

La mejor manera de ingresar la información de su tarjeta al configurar Apple Pay es usar la cámara de su iPhone. Esto se debe a que hacerlo significa que la información de su tarjeta nunca se guarda en el dispositivo o se almacena en la biblioteca de fotos. En otras palabras, dado que los datos no están en el dispositivo para empezar, no hay riesgo de que se acceda desde su iPhone.

Una vez que haya configurado su dispositivo para Apple Pay, su banco (o institución financiera) crea un Número de cuenta del dispositivo (DAN) que es único para su dispositivo y se cifra y se envía a Apple para que puedan agregarlo a lo que se llama Secure Elemento en tu dispositivo. Este elemento está totalmente aislado de iOS y watchOS , nunca se almacena en los servidores de Apple , ni se realiza una copia de seguridad en iCloud.

También es importante tener en cuenta que Apple nunca descifra el DAN, sino que simplemente realiza la acción de colocarlo en su dispositivo en forma cifrada.

Si tiene que ingresar manualmente la información de su tarjeta (es decir, en lugar de usar la cámara de su iPhone), esta información también se cifra y se envía a los servidores de Apple. Dado que la información se almacena en su iPhone antes del cifrado, es teóricamente posible que un tercero pueda registrar esto, pero el riesgo de que esto suceda en un dispositivo sin jailbreak es del 0% porque los datos (es decir, la información de su tarjeta):

  • se almacena en la memoria encriptada
  • solo almacenado por un período muy corto (unos segundos como máximo)
  • está protegido por una envoltura de clave AES con ambos lados que proporciona una clave aleatoria que establece la clave de sesión y utiliza el cifrado de transporte AES-CCM .

En resumen, no creo que sea posible garantizar absolutamente al 100% que un pirata informático nunca pueda recuperar los datos de su tarjeta, pero en realidad el riesgo de que esto suceda es en realidad un pirata informático que infringe los sistemas de su banco, no desde su iPhone.

4. Lectura adicional:

Monomeeth
fuente
Si el teléfono se ve comprometido, cualquier tarjeta fotografiada puede enviarse a terceros maliciosos al igual que cualquier información CC ingresada. Esto es todo antes de que Apple Pay se configure o cualquier banco cree un DAN.
Constantino Tsarouhas
En realidad, la cámara no se usa para fotografiar la tarjeta, se usa para reconocer los caracteres alfanuméricos en los distintos 'campos' de la tarjeta. Sin embargo, al volver a leer mi respuesta, creo que debería revisarla para eliminar cualquier ambigüedad involuntaria en mi respuesta. La realidad es que el riesgo es extremadamente bajo ( casi imposible, pero no imposible) independientemente de si el dispositivo está liberado o no. Actualizaré mi respuesta más tarde hoy, cuando tuve la oportunidad de desenterrar un documento técnico de Apple que cubre este tema, para poder citarlo directamente. ¡Gracias por tu comentario! :)
Monomeeth
También quise decir fotografías hechas por el software malicioso. Nada impide ejecutar software con privilegios de root para tomar fotos furtivamente mientras que la configuración de Apple Pay solo realiza el reconocimiento. Pero eso es un software malicioso para ti. ;-)
Constantino Tsarouhas
@RandyMarsh Solo una nota para hacerle saber que he actualizado mi respuesta para proporcionar información / fuentes más detalladas y para reducir cualquier ambigüedad en mi redacción.
Monomeeth
Gracias por proporcionar una versión actualizada de esta información. ¿Por qué iOS muestra los últimos cuatro dígitos y el proveedor del banco que tengo, aunque esté almacenado en mi reloj y no en el teléfono? ¿No significa eso que cierta información se transfiere de un dispositivo a otro, lo que lleva a un hombre en el medio del ataque?
iProgram