iPhone이 탈옥되면 Apple Watch의 Apple Pay가 안전합니까?


10

iOS 10.2에서 탈옥이 가능 해지면 설치에 관심이 있습니다.

Apple Pay (시계에서만)를 사용하기 때문에 결제 세부 정보가 안전하다는 것을 알고 싶습니다. iOS의 Apple Watch 앱에서 신용 카드 정보를 볼 수 있기 때문에 데이터가 두 장치에서 동기화됩니다.

시계와 전화에있는 데이터로 인해 해커가 내 카드 정보를 얻을 수 있습니까? 그렇다면 마지막 네 자리와 은행 제공 업체 또는 모든 세부 정보입니까?


3
당신은 탈옥 기기에 더 큰 위험에 처해 있습니다.
CJ Dana

왜 탈옥하고 싶습니까? 그리고 네 시계의 모든 것이 휴대 전화에도 있습니다.
타이슨

3
좋은 질문입니다. 좋은 답변을 드릴 수 있기를 바랍니다.
bmike

@Tyson 지금 할 수있는 일이 무엇인지, 지금 할 때 요점이 있는지 확인하기 위해 관심이 있습니다. 나는 <= iOS 6과 iOS 7에서 약간의 탈옥을 겪었습니다. 휴대폰이 불안정하다는 것을 알게 된 이후로 오랫동안 그렇게하지 않았습니다. 탈옥이 더 안정적인지 확인하고 싶습니다.
iProgram

귀하의 질문 / 상황에보다 직접적으로 반응하도록 나의 답변을 업데이트했습니다.
Monomeeth

답변:


7

[편집]-이 수정 사항은 다음에 대한 답변을 수정합니다.

  • 보다 구체적으로 정확한 시나리오에 대한 OP의 질문에 대답
  • 본질적으로 더 일반적인 내 대답 부분을 명확하게하여 모호성을 줄입니다.

1. OP의 정확한 질문 / 시나리오에 대한 답변

예, 나중에 탈옥 하기 전에 기기에 Apple Pay를 이미 설정 했으므로 결제 세부 정보는 100 % 안전 합니다 . 카드 정보가 장치에 저장되지 않았기 때문입니다. 다시 말해, 데이터가 처음부터 기기에 없기 때문에 탈옥 후에도 iPhone에서 데이터에 액세스 할 위험이 없습니다. 정보는 단순히 도용 할 수 없습니다!

2. 탈옥 된 기기에서 Apple 자신의 말로 암호화 및 데이터 보호

애플에 따르면

보안 부팅 체인, 코드 서명 및 런타임 프로세스 보안은 모두 신뢰할 수있는 코드와 앱만 장치에서 실행될 수 있도록 도와줍니다. iOS에는 보안 인프라의 다른 부분이 손상된 경우에도 (예 : 무단으로 수정 한 장치에서) 사용자 데이터를 보호하기위한 추가 암호화 및 데이터 보호 기능이 있습니다. 이는 사용자 및 IT 관리자 모두에게 중요한 이점을 제공하여 개인 및 회사 정보를 항상 보호하고 장치 도난 또는 분실시 즉각적이고 완전한 원격 삭제 방법을 제공합니다.

출처 : Apple의 iOS 보안 백서, 2014, p8. 참고 : 애플이 아닌 대담한 강조 광산.

보시다시피, Apple에 따르면, 장치를 탈옥하더라도 신뢰할 수없는 코드 또는 앱이 Secure Enclave와 같은 특정 영역에 액세스 할 수는 없습니다.

보다 구체적으로, 애플은 다음과 같이 말합니다.

Secure Enclave는 Apple A7 칩으로 제작 된 보조 프로세서입니다. 응용 프로그램 프로세서와 별도로 자체 보안 부팅 및 개인화 된 소프트웨어 업데이트를 사용합니다. 또한 데이터 보호 키 관리를위한 모든 암호화 작업을 제공 하고 커널이 손상 되더라도 데이터 보호의 무결성을 유지합니다 .

출처 : Apple의 iOS 보안 백서, 2014, p5. 참고 : 애플이 아닌 대담한 강조 광산.

Secure Enclave는 Apple의 A7 이상 프로세서의 일부입니다. 이 영토는 Apple Patent Application 20130308838에 문서화되어 있으며 SEP OS라는 자체 OS도 있습니다.

Apple에 따르면 데이터는 안전합니다.

3. Apple Pay 및 보안에 관한 일반 정보

Apple Pay를 설정할 때 카드 정보를 입력하는 가장 좋은 방법은 iPhone 카메라를 사용하는 것입니다. 카드 정보가 장치에 저장되거나 사진 라이브러리에 저장되지 않기 때문입니다. 다시 말해, 데이터가 처음부터 기기에 없기 때문에 iPhone에서 데이터에 액세스 할 위험이 없습니다.

Apple Pay 용으로 장비를 설정하면, 은행 (또는 금융 기관)은 장비에 고유 한 장치 계정 번호 (DAN)를 생성하고 암호화되어 Apple에 전송되어 보안 장치에 추가 할 수 있습니다 장치의 요소. 이 요소가 완전히되어 iOS 및 watchOS에서 격리 입니다 애플의 서버에 저장되지 않으며, 아이 클라우드에 백업.

또한 DAN은 Apple에 의해 실제로 해독되지 않으며 장치에 암호화 된 형태로 장치를 배치하는 작업 만 수행합니다.

카드 정보를 수동으로 입력해야하는 경우 (예 : iPhone의 카메라를 사용하는 대신)이 정보도 암호화되어 Apple 서버로 전송됩니다. 정보는 암호화하기 전에 iPhone에 저장되기 때문에 이론적으로 타사에서이를 기록 할 수 있지만 데이터가 손상되지 않은 장치 (예 : 카드 정보)로 인해 탈옥되지 않은 장치에서 발생하는 위험은 0 %입니다.

  • 암호화 된 메모리에 저장
  • 매우 짧은 기간 (최대 몇 초) 동안 만 저장
  • 세션 키를 설정하고 AES-CCM 전송 암호화를 사용하는 임의의 키를 제공하는 양쪽 으로 AES 키 랩핑 으로 보호됩니다 .

요약하면, 해커 가 절대로 카드 정보를 검색 할 수 없다는 것을 100 % 보장 할 수는 없다고 생각 하지만 실제로 이런 일이 발생할 위험은 실제로 해커가 iPhone이 아닌 은행 시스템을 위반하는 것입니다.

4. 추가 정보 :


전화가 손상된 경우, 입력 한 CC 정보를 보낼 수있는 것처럼 사진이있는 카드를 악의적 인 상대방에게 보낼 수 있습니다. Apple Pay가 설정되거나 은행이 DAN을 만들기 전에이 모든 것이 완료됩니다.
Constantino Tsarouhas가

실제로 카메라는 카드 를 촬영 하는 데 사용되지 않으며 카드 의 다양한 '필드'에서 영숫자 를 인식 하는 데 사용됩니다 . 그러나 내 대답을 다시 읽으면 의도하지 않은 모호성을 제거하기 위해 답을 수정해야한다고 생각합니다. 실제로 장치가 탈옥되었는지 여부에 관계없이 위험이 매우 낮습니다 ( 거의 불가능하지만 불가능 하지는 않음 ). 오늘이 주제를 다루는 Apple 백서를 발굴 할 기회가 생겼을 때 오늘 답변을 업데이트하겠습니다. 귀하의 의견에 감사드립니다! :)
Monomeeth

또한 악성 소프트웨어로 만든 사진을 의미했습니다. Apple Pay 설정이 인식 만 수행하는 동안 루트 권한이있는 소프트웨어를 실행하여 사진을 몰래 찍는 것을 막을 수있는 것은 없습니다. 그러나 그것은 나중에 악성 소프트웨어입니다. ;-)
Constantino Tsarouhas는

@RandyMarsh 더 자세한 정보 / 소스를 제공하고 내 말의 모호성을 줄이기 위해 답변을 업데이트했다는 것을 알려주는 메모입니다.
Monomeeth

이 정보의 업데이트 버전을 제공해 주셔서 감사합니다. 휴대 전화가 아닌 시계에 저장되어 있는데 iOS에 마지막 4 자리 숫자와 은행 제공 업체가 표시되는 이유는 무엇입니까? 그것은 어떤 정보가 한 장치에서 다른 장치로 전송되어 중공 격의 사람으로 이끌고 있다는 것을 의미하지 않습니까?
iProgram
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.