Apple Pay sur Apple Watch est-il sûr si l'iPhone est jailbreaké?

10

Quand / si un Jailbreak devient disponible pour iOS 10.2, je suis intéressé à l'installer.

Étant donné que j'utilise Apple Pay (sur ma montre uniquement), je voudrais savoir que mes informations de paiement sont en sécurité. Étant donné que vous pouvez voir les informations de votre carte de crédit dans l'application Apple Watch sur iOS, cela signifie que les données sont synchronisées sur les deux appareils.

En raison des données présentes sur la montre et le téléphone, cela permettrait-il à un pirate d'obtenir les détails de ma carte? Si oui, serait-ce simplement les quatre derniers chiffres et mon fournisseur de services bancaires ou tous les détails?

data-synchronization security jailbreak apple-watch apple-pay iProgramme
la source
3
Vous vous mettez plus à risque sur un appareil jailbreaké.
CJ Dana
Pourquoi voulez-vous jailbreaker? Et oui, tout sur votre montre est également sur votre téléphone.
Tyson
3
Grande question. J'espère que nous pourrons obtenir de bonnes réponses pour vous.
bmike
@Tyson Je suis intéressé à le faire pour voir s'il est toujours utile de le faire maintenant, ainsi que pour voir ce que vous pouvez y faire. J'avais l'habitude de jailbreaker <= iOS 6 et un peu sur iOS 7. Je ne l'ai pas fait depuis longtemps car j'ai trouvé mon téléphone instable. Vous voulez voir si le jailbreaking est plus stable maintenant.
iProgram
Juste une note pour vous faire savoir que j'ai mis à jour ma réponse pour répondre plus directement à votre question / situation.
Monomeeth

Réponses:

7

[EDIT] - Cette modification révise ma réponse à:

  • répondre plus précisément à la question du PO pour son scénario exact
  • réduire l'ambiguïté en clarifiant les parties de ma réponse qui étaient de nature plus générale

1. Réponse à la question / au scénario exact du PO

Oui, vos informations de paiement sont 100% sécurisées , car vous avez déjà configuré Apple Pay sur vos appareils avant de faire un jailbreak à l'avenir. En effet, les informations de votre carte ne sont pas enregistrées sur l'appareil. En d'autres termes, puisque les données ne sont pas sur l'appareil pour commencer, il n'y a aucun risque qu'elles soient accessibles depuis votre iPhone, même après avoir fait un jailbreak. L'information n'est tout simplement pas là pour voler!

2. Les propres mots d'Apple sur le chiffrement et la protection des données sur les appareils jailbreakés

Selon Apple

La chaîne de démarrage sécurisée, la signature de code et la sécurité du processus d'exécution garantissent que seuls le code et les applications approuvés peuvent s'exécuter sur un appareil. iOS dispose de fonctionnalités de cryptage et de protection des données supplémentaires pour protéger les données des utilisateurs, même dans les cas où d'autres parties de l'infrastructure de sécurité ont été compromises (par exemple, sur un appareil avec des modifications non autorisées) . Cela offre des avantages importants pour les utilisateurs et les administrateurs informatiques, protégeant les informations personnelles et d'entreprise à tout moment et fournissant des méthodes pour un nettoyage à distance instantané et complet en cas de vol ou de perte de l'appareil.

Source: Livre blanc sur la sécurité iOS d'Apple, 2014, p8. REMARQUE: le mien est en gras, pas celui d'Apple.

Comme vous pouvez le voir, selon Apple, même le jailbreak d'un appareil ne permettra pas à un code ou à des applications non fiables d'accéder à certaines zones, telles que Secure Enclave.

Plus précisément, Apple déclare:

Le Secure Enclave est un coprocesseur fabriqué dans la puce Apple A7. Il utilise son propre démarrage sécurisé et une mise à jour logicielle personnalisée distincte du processeur d'application. Il fournit également toutes les opérations cryptographiques pour la gestion des clés de protection des données et maintient l'intégrité de la protection des données même si le noyau a été compromis .

Source: Livre blanc sur la sécurité iOS d'Apple, 2014, p5. REMARQUE: le mien est en gras, pas celui d'Apple.

Le Secure Enclave fait partie des processeurs A7 et ultérieurs d'Apple. Cette enclave est documentée dans la demande de brevet Apple 20130308838 et possède également son propre système d'exploitation appelé SEP OS.

Ainsi, selon Apple, vos données sont en sécurité.

3. Informations générales sur Apple Pay et la sécurité

La meilleure façon d'entrer les informations de votre carte lors de la configuration d'Apple Pay est d'utiliser l'appareil photo de votre iPhone. En effet, cela signifie que les informations de votre carte ne sont jamais enregistrées sur l'appareil ou stockées dans la photothèque. En d'autres termes, étant donné que les données ne sont pas sur l'appareil pour commencer, il n'y a aucun risque qu'elles soient accessibles depuis votre iPhone.

Une fois que vous avez configuré votre appareil pour Apple Pay, votre banque (ou institution financière) crée un numéro de compte d'appareil (DAN) qui est unique à votre appareil et est crypté et envoyé à Apple afin qu'ils puissent l'ajouter à ce qu'on appelle le Secure Élément sur votre appareil. Cet élément est totalement isolé d'iOS et watchOS , n'est jamais stocké sur les serveurs d'Apple , ni sauvegardé sur iCloud.

Il est également important de noter que le DAN n'est jamais réellement décrypté par Apple, ils effectuent simplement l'action de le placer sur votre appareil sous sa forme cryptée.

Si vous devez saisir manuellement les informations de votre carte (c'est-à-dire au lieu d'utiliser l'appareil photo de votre iPhone), ces informations sont également cryptées et envoyées aux serveurs Apple. Étant donné que les informations sont stockées sur votre iPhone avant le cryptage, il est théoriquement possible qu'un tiers puisse enregistrer cela, mais le risque que cela se produise sur un appareil non jailbreaké est de 0% car les données (c'est-à-dire les informations de votre carte):

  • est stocké dans une mémoire cryptée
  • stocké uniquement pendant une très courte période (quelques secondes au maximum)
  • est protégé par un habillage de clé AES, les deux côtés fournissant une clé aléatoire qui établit la clé de session et utilise le chiffrement de transport AES-CCM .

En résumé, je ne pense pas qu'il soit possible de garantir à 100% qu'un pirate ne pourra jamais récupérer les détails de votre carte, mais en réalité, le risque que cela se produise provient en fait d'un pirate qui enfreint les systèmes de votre banque, et non de votre iPhone.

4. Lectures complémentaires:

Monomeeth
la source
Si le téléphone est compromis, toute carte photographiée peut être envoyée à des parties malveillantes tout comme toute information CC tapée peut être envoyée. Tout cela avant même la création d'Apple Pay ou avant qu'une banque crée un DAN.
Constantino Tsarouhas
En fait, l'appareil photo n'est pas utilisé pour photographier la carte, il est utilisé pour reconnaître les caractères alphanumériques dans les différents «champs» de la carte. Cependant, après avoir relu ma réponse, j'estime que je devrais la réviser pour supprimer toute ambiguïté involontaire dans ma réponse. La réalité est que le risque est extrêmement faible ( presque impossible, mais pas impossible), que l'appareil soit jailbreaké ou non. Je mettrai à jour ma réponse plus tard dans la journée lorsque j'aurai eu la chance de trouver un livre blanc Apple qui couvre ce sujet, afin que je puisse en citer directement. Merci pour votre commentaire! :)
Monomeeth
Je voulais aussi dire des photographies faites par le logiciel malveillant. Rien n'empêche d'exécuter un logiciel privilégié root pour prendre sournoisement des photos tandis que la configuration Apple Pay effectue simplement la reconnaissance. Mais c'est un logiciel malveillant pour vous. ;-)
Constantino Tsarouhas
@RandyMarsh Juste une note pour vous faire savoir que j'ai mis à jour ma réponse pour fournir des informations / sources plus détaillées et pour réduire toute ambiguïté dans ma formulation.
Monomeeth
Merci d'avoir fourni une version mise à jour de ces informations. Pourquoi iOS montre-t-il les quatre derniers chiffres et le fournisseur bancaire que j'ai, même s'il est stocké sur ma montre et non sur mon téléphone? Cela ne signifierait-il pas que certaines informations sont transférées d'un appareil à l'autre, conduisant à un homme au milieu de l'attaque?
iProgram