Puis-je «cloner» ma carte de crédit à l'aide de la puce NFC du Nexus S et du Galaxy Nexus? Sinon, pourquoi pas?

15

Une application Android peut-elle lire les données NFC de ma carte de crédit, les stocker puis envoyer ces données à un point de paiement sans contact (PayPass)? Ainsi j'utiliserais mon Nexus pour payer mon café, commodément.

Si oui, existe-t-il une application pour cela? Sinon, pourquoi pas?

nfc

— William C
source

2

Question intéressante .. :)

— Android Quesito

Je n'ai jamais pensé à cette question. Que se passe-t-il, si par exemple, les données qui "représentent" les données nfc sont dupliquées, ou est-ce lié à l'ID de l'appareil pour générer une clé de chiffrement? (Je n'ai aucune idée car beaucoup de mes combinés n'ont pas de NFC intégré), néanmoins, c'est une bonne question :) +1 de ma part :)

— t0mm13b

16

Non, tu ne peux pas. Pour simplifier à l'extrême - les paiements sans fil (NFC, puces RFID sur les cartes, etc.) ne sont pas une simple transaction `` quel est votre numéro de carte '' (car ce serait précaire au-delà de toute croyance), ils sont plutôt une `` ici, crypter ce bloc de données avec vos numéros secrets et renvoyez-le.

Le bloc de données à chiffrer change pour chaque transaction, et il n'y a (censé y avoir) aucun moyen de faire en sorte que l'appareil recrache ses numéros secrets.

Vous ne pouvez donc pas cloner FACILEMENT vos cartes sur votre téléphone (si vous le pouviez, il en serait de même pour toute autre personne qui se serait approchée de vous).

Cela ne veut pas dire que cela ne peut pas être fait du tout (si, peut-être, vous avez trouvé un défaut dans le fonctionnement de la crypto, vous pourriez peut-être déduire les numéros secrets d'un appareil), mais ce n'est pas quelque chose que vous allez acheter une application pour.

— Michael Kohne
source

1

Juste à côté jusqu'en 2008 (ish, au Royaume-Uni), les transactions étaient de type `` quel est votre numéro de carte '' et il était possible de cloner des cartes à puce. Les clones n'ont fonctionné que lorsque le terminal du point de vente n'a pas contacté la banque pour authentifier la carte.

— Peanut

Je ne suis pas complètement à jour, mais la dernière fois que j'ai entendu (l'année dernière parfois) il y a toujours des problèmes avec les puces et les broches en raison du comportement de secours spécifié des terminaux - s'ils ne peuvent pas parler à la puce, ils retomber sur des comportements plus anciens, que certains attaquants peuvent avoir exploités. C'est un bogue au niveau des spécifications plutôt méchant, malheureusement.

— Michael Kohne

Oui, si la puce est endommagée, le terminal demandera toujours une transaction de bande magnétique, même au Royaume-Uni où nous ne les avons pas depuis des années. Il pourrait être complètement éliminé, mais les banques ne semblent pas se soucier des petits niveaux de fraude que cela pourrait provoquer.

— Peanut

Mais qu'en est-il des cartes RFID / NFC normales, comme les clés des portes? peuvent-ils être copiés et utilisés à partir du téléphone?

— Midhat

@Midhat - s'il est destiné à la sécurité, vous ne pourrez pas le cloner facilement (à moins que le vendeur ne soit un tas de crétins). Normalement, les appareils utilisés pour la sécurité ne sont PAS seulement des choses `` voici mon numéro '' - ils ont des informations en interne, et lorsque le lecteur le demande, ils font quelque chose et retournent une réponse, afin d'éviter simplement ce problème. Cela ne veut pas dire qu'il est 100% infaillible, mais vous n'allez pas simplement le placer près de votre téléphone et le cloner.

— Michael Kohne

6

Le matériel NFC du Nexus S et du Galaxy Nexus est techniquement capable d'émuler une étiquette NFC telle qu'une carte de crédit sans contact. C'est exactement ainsi que fonctionne Google Wallet . Cependant, le clonage d'une carte existante n'est pas possible, en raison du fonctionnement du processus d'authentification entre la carte et le terminal de paiement (basé sur des clés cryptographiques secrètes). Donc, le moyen le plus simple d'accomplir ce que vous voulez est d'installer Google Wallet sur le téléphone (il est préinstallé sur le Nexus S 4G, il existe divers didacticiels disponibles sur le Web pour les Nexus S et Galaxy Nexus simples) et charger de l'argent dans une carte prépayée Google et c'est parti pour prendre un café.

— Guy NFC
source

1

Y a-t-il des alternatives pour les non-américains là-bas? Google Wallet n'est pas disponible et Android Pay ne fonctionne pas s'il est enraciné et ainsi de suite.

— kiradotee

4

Bien que les deux autres réponses soient fondamentalement correctes (vous ne pouvez pas créer de clones complets de cartes de crédit sans contact actuelles), il existe des scénarios d'attaque qui permettent de créer des clones limités de cartes de crédit sans contact basées sur EMV. Ce document , par exemple, décrit une méthode pour cloner des cartes MasterCard PayPass en abusant d'une vulnérabilité causée par la rétrocompatibilité des cartes PayPass avec un protocole (cryptographiquement) faible et une vérification insuffisante des transactions du côté de l'émetteur de la carte. De même, cet article décrit comment abuser de la faiblesse spécifique des terminaux de paiement pour créer des copies limitées de cartes de crédit EMV.

En combinaison avec la nouvelle fonctionnalité d'émulation de carte basée sur l'hôte (HCE) d'Android 4.4 (ou la fonctionnalité d'émulation de carte basée sur l'hôte de CyanogenMod 9.1 et versions ultérieures), vous pouvez émuler une carte de crédit pré-jouée avec votre téléphone. Cependant, vous devez garder à l'esprit que les deux méthodes de clonage sont des scénarios d'attaque et peuvent vous conduire à de graves problèmes juridiques ;-) De plus, au moins la première attaque rendra rapidement votre carte de crédit d'origine inutilisable en raison de la vidange du compteur de transactions.

— Michael Roland
source

-1

Oui, vous pouvez utiliser le proxy NFC sur 2 unités de téléphone compatible NFC - une comme proxy et l'autre comme serveur. cette application est / était principalement destinée aux chercheurs en sécurité pour auditer et tester des applications en champ proche qui utilisent rfid, mifare, etc. comme projet open source, je vois des progrès réalisés par la communauté et les développeurs maintiennent le projet et mettent à jour le wiki pour suivre les tendances actuelles de la technologie ou des applications. Je suis toujours en train de jouer avec cela et j'utilise mes nexus pour explorer le potentiel, la fiabilité et les vulnérabilités dans les applications quotidiennes telles que les cartes d'hôtel ou pour déclencher l'automatisation.

cependant, si vous prévoyez d'utiliser votre carte de débit / crédit, votre carte de fidélité / abonnement ou même des cartes ez-pass (pour les péages / métro / bus) sur votre Nexus S, des applications telles que google wallet, square wallet et isis (pour nommer un quelques-uns) devraient suffire. ive utilisé paypal, google wallet et square wallet pour effectuer et recevoir un paiement. correctement configurées, liées et vérifiées, ces applications peuvent remplacer le contenu de votre portefeuille. il est énervé, moderne et puissant, mais avec une grande puissance vient une grande responsabilité parce que ces trucs de fantaisie créeront un point faible ou une chaîne faible pour votre sécurité et votre vie privée.

faites-moi savoir si vous êtes également intéressé à utiliser votre Nexus S comme un ensemble de jeu. c'est un morceau de matériel si intéressant entre nfc, obd et sdr qu'il y a toujours quelque chose de nouveau à découvrir avec cet ancien appareil.

— harayz
source

2

Pourriez-vous expliquer comment utiliser cette application pour répondre à la demande de OP? Ne fournir qu'une application sans aucune étape est déconseillé car les utilisateurs peuvent ne pas savoir comment l'utiliser (et peuvent endommager leur appareil). De plus, j'ai lu que vous devez utiliser CyanogenMod pour que cela fonctionne.

— Andrew T.

plus - vous pouvez maintenant utiliser d'autres roms.

— harayz