Nexus S 및 Galaxy Nexus의 NFC 칩을 사용하여 신용 카드를 "복제"할 수 있습니까? 그렇지 않다면 왜 안됩니까?

15

안드로이드 앱이 내 신용 카드의 NFC 데이터를 읽고 저장 한 다음이 데이터를 비접촉식 지불 포인트 (PayPass)로 보낼 수 있습니까? 따라서 저는 Nexus를 사용하여 커피를 편리하게 지불 할 것입니다.

그렇다면이 앱이 있습니까? 그렇지 않다면 왜 안됩니까?

nfc 
윌리엄 C
소스
2
재미있는 질문 .. :)
Android Quesito
그 질문을 생각하지 않았습니다. 예를 들어, nfc 데이터를 "대표하는"데이터가 복제되거나 암호화 키를 생성하기 위해 장치 ID에 연결된 데이터는 어떻게됩니까? (많은 핸드셋에 NFC가 내장되어 있지 않다는 것을 몰라요) 그럼에도 불구하고 좋은 질문입니다 :) +1 :)
t0mm13b

답변:

16

아냐, 못해 지나치게 단순화하기 위해-무선 결제 (NFC, 카드의 RFID 칩 등)는 단순한 '카드 번호가 무엇입니까?'거래가 아닙니다 (믿을 수없는 것보다 안전하지 않기 때문에). '여기,이 데이터 블록을 암호화하십시오. 당신의 비밀 번호로 그것을 반환합니다.

암호화 될 데이터 블록은 각 트랜잭션마다 변경되며, 장치가 비밀 번호를 내뱉을 수있는 방법은 없습니다.

따라서 카드를 휴대 전화에 쉽게 복제 할 수 없습니다 (가능한 경우 근처에있는 다른 사람도 가능).

그것은 전혀 할 수 없다고 말하는 것이 아닙니다 (암호화가 작동하는 방식에 결함이 발견되면 장치의 비밀 번호를 추론 할 수 있음), 그러나 당신이 구입할 것이 아닙니다 에 대한 응용 프로그램.

마이클 코네
소스
1
2008 년까지 영국에있는 거래는 '카드 번호가 무엇입니까?'유형이었으며 칩 카드를 복제 할 수있었습니다. 클론은 POS 단말기가 은행에 연락하여 카드를 인증하지 않은 경우에만 작동했습니다.
땅콩
나는 완전히 최신 상태는 아니지만 터미널의 지정된 폴백 동작으로 인해 칩과 핀에 문제가 있다고 마지막으로 들었습니다. 일부 공격자는 악용했을 수있는 이전 동작으로 돌아갑니다. 불행히도 다소 불쾌한 사양 수준 버그입니다.
Michael Kohne
칩이 손상되면 터미널은 우리가 몇 년 동안 가지고 있지 않은 영국에서도 여전히 마그네틱 스트라이프 거래를 요청할 것입니다. 완전히 제거 될 수는 있지만 은행은 이로 인해 발생할 수있는 작은 수준의 사기를 신경 쓰지 않는 것 같습니다.
땅콩
그러나 도어 키와 같은 일반적인 RFID / NFC 카드는 어떻습니까? 전화에서 복사하여 사용할 수 있습니까?
Midhat
@Midhat-보안을 목적으로하는 경우 (공급 업체가 완전한 모론이 아니라면) 쉽게 복제 할 수 없습니다. 일반적으로 보안에 사용되는 장치는 '내 번호가 여기에 있습니다'종류의 물건이 아닙니다. 내부에 정보가 있으며 독자가 요청할 때이 문제를 피하기 위해 무언가를 수행하고 답변을 반환합니다. 그것은 100 % 완전 함을 말하는 것은 아니지만, 전화기 근처에 앉아서 복제하지는 않을 것입니다.
Michael Kohne
6

Nexus S 및 Galaxy Nexus의 NFC 하드웨어는 기술적으로 비접촉식 신용 카드와 같은 NFC 태그를 에뮬레이션 할 수 있습니다. 이것이 바로 Google 지갑의 작동 방식입니다. 그러나 카드와 지불 터미널 사이의 인증 프로세스 작동 방식 (비밀 암호 키 기반)으로 인해 기존 카드를 복제 할 수 없습니다. 따라서 원하는 것을 달성하는 가장 간단한 방법은 휴대 전화에 Google 지갑을 설치하는 것입니다 (Nexus S 4G에 사전 설치되어 있으며 웹에는 일반 Nexus S 및 Galaxy Nexus에 대한 다양한 자습서가 있습니다). Google 선불 카드로 커피를 마시 러갑니다.

NFC 사람
소스
1
미국 이외의 사람들을위한 대안이 있습니까? Google 월렛을 사용할 수 없으며 루팅 된 경우 Android Pay가 작동하지 않습니다.
kiradotee
4

다른 두 가지 대답은 기본적으로 정확하지만 (현재 비접촉 신용 카드의 전체 복제본을 만들 수는 없음) EMV 기반 비접촉 신용 카드의 복제본을 제한 할 수있는 공격 시나리오가 있습니다. 예를 들어, 이 백서 에서는 (암호 적으로) 프로토콜이 약하고 카드 발급자 측에서 트랜잭션 검사가 불충분 한 PayPass 카드의 하위 호환성으로 인해 발생하는 취약점을 악용하여 MasterCard PayPass 카드를 복제하는 방법에 대해 설명합니다. 마찬가지로이 백서 에서는 특정 약점의 결제 단말기를 남용하여 EMV 기반 신용 카드의 제한된 사본을 만드는 방법에 대해 설명합니다.

Android 4.4의 새로운 호스트 기반 카드 에뮬레이션 (HCE) 기능 (또는 CyanogenMod 9.1 이상의 호스트 기반 카드 에뮬레이션 기능)과 함께 사전 재생 된 신용 카드를 전화기로 에뮬레이션 할 수 있습니다. 그러나 두 복제 방법 모두 공격 시나리오 이며 심각한 법적 문제로 이어질 수 있음을 명심해야합니다. ;-) 또한 적어도 첫 번째 공격으로 인해 거래 카운터가 소진되어 원래 신용 카드를 빠르게 사용할 수 없게됩니다.

마이클 롤랜드
소스
-1

그렇습니다. NFC 지원 전화의 두 단위 (하나는 프록시, 다른 하나는 서버)에서 NFC 프록시 를 사용할 수 있습니다. 이 응용 프로그램은 / 오픈 소스 프로젝트로 rfid, mifare 등을 사용하는 근거리 응용 프로그램을 감사하고 테스트하기 위해 보안 연구원을 위해 주로 사용되었습니다. 커뮤니티의 진보를 보았으며 개발자가 프로젝트를 유지 관리하고 위키를 업데이트합니다. 최신 기술 또는 응용 프로그램 트렌드에 발 맞추어 나는 아직도이 문제를 해결하고 호텔 카드와 같은 일상적인 응용 프로그램의 잠재적, 신뢰성 및 취약성을 탐색하거나 자동화를 트리거하기 위해 넥서스를 사용합니다.

그러나 넥서스 S에서 직불 / 신용 카드, 로열티 / 멤버십 또는 ez-pass (통행료 / 지하철 / 버스 용) 카드를 사용하려는 경우 Google 지갑, 사각형 지갑 및 isis (예 : 몇) 충분합니다. 지불하고 지불하기 위해 페이팔, 구글 지갑 및 정사각형 지갑을 사용했습니다. 올바르게 구성, 연결 및 확인되면 이러한 애플리케이션은 지갑의 내용을 대체 할 수 있습니다. 그것은 초초하고 현대적이며 강력하지만 강력한 힘을 가진 것은 큰 책임을지게됩니다.이 멋진 활기 넘치는 물건은 보안 및 개인 정보 보호에 연약한 반점 또는 약한 사슬을 만들 것입니다.

넥서스 S를 플레이 세트로 사용하는 데 관심이 있다면 알려주십시오. nfc, obd 및 sdr 사이의 흥미로운 하드웨어입니다.이 오래된 장치로 항상 발견 할 새로운 것이 있습니다.

하라 즈
소스
2
OP의 요청을 달성하기 위해이 앱을 사용하는 방법에 대해 더 설명해 주시겠습니까? 사용자가 앱 사용 방법을 모를 수도 있고 기기가 손상 될 수 있으므로 단계가없는 앱만 제공하지 않는 것이 좋습니다. 또한이 작업을 수행하려면 CyanogenMod를 사용해야한다는 것을 읽었습니다.
Andrew T.
더 이상은 아닙니다-이제 다른 롬을 사용할 수 있습니다.
harayz
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.