¿Una aplicación de Android puede leer los datos NFC de mi tarjeta de crédito, almacenarlos y luego enviar estos datos a un punto de pago sin contacto (PayPass)? De esta manera, usaría mi Nexus para pagar mi café de manera conveniente.
Si es así, ¿hay alguna aplicación para esto? Si no, ¿por qué no?
No, no puedes. Para simplificar: los pagos inalámbricos (NFC, chips RFID en tarjetas, etc.) no son una simple transacción de 'cuál es tu número de tarjeta' (porque sería inseguro más allá de toda creencia), sino más bien un tipo de cosa de 'aquí, cifra este bloque de datos con tus números secretos y devuélvelo'.
El bloque de datos a cifrar cambia para cada transacción, y no hay manera (supuestamente) de hacer que el dispositivo escupa sus números secretos.
Entonces no puedes CLONAR fácilmente tus tarjetas en tu teléfono (si pudieras, entonces cualquiera que pasara cerca de ti también podría hacerlo).
Eso no quiere decir que no se pueda hacer en absoluto (tal vez, si encontraste una falla en la forma en que funciona el cifrado, tal vez podrías deducir los números secretos de un dispositivo), pero no es algo por lo que vayas a comprar una aplicación.
Solo como nota adicional, hasta aproximadamente 2008 en el Reino Unido, las transacciones solían ser del tipo 'cuál es tu número de tarjeta' y era posible clonar tarjetas con chip. Sin embargo, los clones solo funcionaban cuando el terminal de venta no se comunicaba con el banco para autenticar la tarjeta.
No estoy completamente actualizado, pero lo último que supe (el año pasado en algún momento) es que todavía hay problemas con el chip y el pin debido al comportamiento específico de recaída de los terminales: si no pueden comunicarse con el chip, vuelven a comportamientos más antiguos, que algunos atacantes pueden haber explotado. Desafortunadamente, es un error bastante desagradable a nivel de especificación.
Sí, si el chip está dañado, el terminal seguirá solicitando una transacción con banda magnética, incluso en el Reino Unido donde no las hemos tenido durante años. Podría eliminarse por completo, pero parece que a los bancos no les importan los pequeños niveles de fraude que esto podría causar.
El hardware NFC en el Nexus S y el Galaxy Nexus es técnicamente capaz de emular una etiqueta NFC como una tarjeta de crédito sin contacto. De hecho, así es como funciona Google Wallet. Sin embargo, clonar una tarjeta existente no es posible, debido a cómo funciona el proceso de autenticación entre la tarjeta y el terminal de pago (basado en claves criptográficas secretas). Por lo tanto, la forma más sencilla de lograr lo que deseas es instalar Google Wallet en el teléfono (viene preinstalado en el Nexus S 4G, hay varios tutoriales disponibles en la web para el Nexus S y Galaxy Nexus estándar) y cargar algo de dinero en una tarjeta prepago de Google y listo, puedes ir a tomar un café.
Mientras que las otras dos respuestas son básicamente correctas (no se pueden crear clones completos de tarjetas de crédito sin contacto actuales), existen escenarios de ataque que permiten la creación de clones limitados de tarjetas de crédito sin contacto basadas en EMV. Este documento, por ejemplo, describe un método para clonar tarjetas MasterCard PayPass abusando de una vulnerabilidad causada por la compatibilidad hacia atrás de las tarjetas PayPass con un protocolo (criptográficamente) débil y una verificación insuficiente de transacciones en el lado del emisor de la tarjeta. De manera similar, este documento describe cómo abusar de debilidades específicas de terminales de pago para crear copias limitadas de tarjetas de crédito basadas en EMV.
En combinación con la nueva función de emulación de tarjetas basada en host (HCE) de Android 4.4 (o la funcionalidad de emulación de tarjetas basada en host de CyanogenMod 9.1 y posteriores), puedes emular una tarjeta de crédito pre-reproducida con tu teléfono. Sin embargo, debes tener en cuenta que ambos métodos de clonación son escenarios de ataque y pueden meterte en serios problemas legales ;-) Además, al menos el primer ataque rápidamente hará que tu tarjeta de crédito original sea inutilizable debido al agotamiento del contador de transacciones.
Sí, puedes hacerlo, utilizando NFC Proxy en 2 unidades de teléfono habilitado para NFC: uno como proxy y otro como servidor. Esta aplicación es / era principalmente para investigadores de seguridad para auditar y probar aplicaciones de campo cercano que utilizan rfid, mifare, etc. como un proyecto de código abierto, veo algunos avances hechos por la comunidad y los desarrolladores mantienen el proyecto y actualizan el wiki para estar al día con las tendencias tecnológicas o de aplicaciones actuales. Todavía estoy jugando con esto y uso mi Nexus S para explorar el potencial, la confiabilidad y las vulnerabilidades en aplicaciones diarias como tarjetas de hotel o para activar la automatización.
Sin embargo, si planeas usar tu tarjeta de débito/crédito, tarjetas de lealtad/membresía o incluso ez-pass (para peajes/metro/autobús) en tu Nexus S, aplicaciones como Google Wallet, Square Wallet e Isis (por nombrar algunas) deberían ser suficientes. He usado PayPal, Google Wallet y Square Wallet tanto para hacer como recibir pagos. Cuando se configuran, vinculan y verifican correctamente, estas aplicaciones tienen el potencial de sustituir el contenido de tu billetera. Es de vanguardia, moderno y poderoso, pero con gran poder viene una gran responsabilidad ya que estas cosas sofisticadas pueden crear puntos débiles en tu seguridad y privacidad.
Déjame saber si también estás interesado en usar tu Nexus S como un juguete. Es una pieza de hardware tan interesante entre nfc, obd y sdr siempre hay algo nuevo por descubrir con este antiguo dispositivo.
¿Podrías explicar más cómo usar esta aplicación para cumplir con la solicitud de OP? Se desaconseja proporcionar solo una aplicación sin ningún paso, ya que los usuarios pueden no saber cómo usarla (y podrían dañar su dispositivo). Además, leí que necesitas usar CyanogenMod para que esto funcione.
PreguntAndroid es una comunidad de usuarios de Android en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.
2 votos
¡Pregunta interesante.. :)
0 votos
Nunca pensé en esa pregunta. ¿Qué sucede si, digamos, los datos que "representan" los datos nfc se duplican, o si eso está vinculado al id del dispositivo para generar una clave de cifrado? (No tengo ni idea ya que muchos de mis dispositivos no tienen NFC incorporado). Sin embargo, ¡es una buena pregunta! +1 de mi parte :)