我可以使用Nexus S和Galaxy Nexus的NFC芯片“克隆”我的信用卡吗?如果没有,为什么不呢?


15

android应用程序可以读取我信用卡的NFC数据,将其存储,然后将其发送到非接触式支付点(PayPass)吗?因此,我可以方便地使用Nexus支付咖啡费用。

如果是,是否有用于此的应用程序?如果没有,为什么不呢?


2
有趣的问题.. :)
Android Quesito 2012年

从来没有想过这个问题。如果说“代表” nfc数据的数据被复制,或者与设备ID相关联以生成加密密钥,该怎么办?(不知道我的很多手机没有内置NFC),不过,这是一个好问题:)我+1 :)
t0mm13b 2012年

Answers:


16

不,你不能。过于简单化-无线支付(NFC,卡上的RFID芯片等)不是简单的“您的卡号是什么”交易(因为这是不安全的,令人难以置信),它们更像是“在这里,加密此数据块”用你的秘密号码,并返回它的类型。

加密的数据块随每次交易而变化,并且(应该是)没有办法让设备吐出其秘密号码。

因此,您无法轻松地将卡克隆到手机上(如果可以的话,走近您的其他人也可以)。

这并不是说它根本不可能完成(如果,也许您发现了加密工作方式上的缺陷,也许可以推断出设备的秘密号码),但这并不是您要购买的东西一个应用程序。


1
附带说明一下,直到2008年(在英国,ish),交易一直被用作“您的卡号是什么”类型,并且可以克隆芯片卡。但是,克隆仅在销售点终端未与银行联系以验证卡身份时才起作用。
花生

我还没有完全了解最新信息,但是我听说的最后一次(去年某个时候)由于指定的终端回退行为,芯片和引脚仍然存在问题-如果他们无法与芯片对话,退回一些攻击者可能已经利用的较旧的行为。不幸的是,这是一个相当讨厌的规范级错误。
迈克尔·科恩

是的,如果芯片损坏,那么即使在英国我们已经多年没有磁条交易了,终端仍会要求进行磁条交易。可以完全消除它,但是银行似乎并不介意这可能导致的小规模欺诈。
花生2012年

但是,普通的RFID / NFC卡(例如门钥匙)呢?可以通过电话复制和使用它们吗?
Midhat

@Midhat-如果用于安全性,那么您将无法轻松克隆它(除非供应商是一堆白痴)。通常,用于安全性的设备不仅仅是“这就是我的电话”之类的东西-它们在内部具有一些信息,并且当读者询问时,它们会做一些事情并返回答案,从而避免了这个问题。这并不是说它是100%防呆的,但您不会只是将其放在手机附近并克隆它。
Michael Kohne

6

Nexus S和Galaxy Nexus中的NFC硬件在技术上能够模拟NFC标签,例如非接触式信用卡。这正是Google电子钱包的工作方式。但是,由于卡和付款终端之间的身份验证过程是如何工作的(基于秘密密码密钥),因此无法克隆现有卡。因此,完成所需操作的最简单方法是在手机上安装Google电子钱包(该手机已预先安装在Nexus S 4G上,网络上提供了针对纯Nexus S和Galaxy Nexus的各种教程),并且需要花很多钱使用Google预付卡,然后就可以去喝咖啡了。


1
有没有其他针对美国以外的人的选择?Google电子钱包不可用,如果扎根,则无法使用Android Pay。
kiradotee '16

4

尽管其他两个答案基本上是正确的(您不能创建当前非接触式信用卡的完整克隆),但仍有一些攻击情形允许创建基于EMV的非接触式信用卡的有限克隆。本文,例如,描述了通过滥用引起的PayPass的卡用(加密)弱协议和记录,检查在不足卡发行商侧的向后兼容性漏洞到克隆万事达PayPass卡的方法。同样,本文介绍了如何利用支付终端的特定弱点来创建基于EMV的信用卡的有限副本。

结合Android 4.4的新基于主机的卡仿真(HCE)功能(或CyanogenMod 9.1及更高版本的基于主机的卡仿真功能),您可以在手机上模拟预先播放的信用卡。但是,您必须记住,这两种克隆方法都是攻击方案,并且可能导致严重的法律问题;-)此外,至少第一次攻击会因为耗尽交易柜台而迅速使您的原始信用卡无法使用。


-1

是的,您可以在2个启用NFC的电话上使用NFC代理 -一个作为代理,另一个作为服务器。此应用程序主要用于安全研究人员,以审核和测试使用rfid,mifare等作为开放源代码项目的近场应用程序,我看到社区取得了一些进展,开发人员确实维护了该项目并更新了Wiki。跟上当前的技术或应用趋势。我目前仍在处理这个问题,并使用nexus来探索诸如酒店卡之类的日常应用中的潜力,可靠性和漏洞,或触发自动化。

但是,如果您打算在连结S上使用借记卡/信用卡,会员卡/会员卡,甚至是ez-pass(收费/地铁/公共汽车)卡,则应使用诸如Google钱包,方形钱包和isis之类的应用程序(命名为少数)就足够了。香港专业教育学院使用贝宝,谷歌钱包和方形钱包进行付款和接收付款。经过正确配置,链接和验证,这些应用程序有可能替代您的钱包内容。它前卫,现代且功能强大,但强大的功能要承担重大责任,因为这些奇特的东西会在您的安全和隐私上造成软弱或薄弱的关系。

让我知道您是否也有兴趣将Nexus S用作游戏机。它是nfc,obd和sdr之间如此有趣的硬件,使用此旧设备总是可以发现新的东西。


2
您能否解释更多如何使用此应用程序来满足OP的要求?不建议仅提供没有任何步骤的应用程序,因为用户可能不知道如何使用它(并可能损坏其设备)。另外,我读到您需要使用CyanogenMod才能起作用。
安德鲁·T。

不再-您现在可以使用其他rom。
harayz 2015年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.