Ciekawe: Can’t Touch This: Cloning Any Android HCE Contactless Card (slajdy). Przyznam, że początkowo liczyłem na coś nieco innego, ale i tak jest ciekawie. Liczy się threat model i ten scenariusz zdecydowanie ma sens.
Przy okazji - ponownie okazuje się, że podejście Apple może mieć więcej sensu. Jeśli pewne rzeczy są osadzone bezpośrednio w procesorze wówczas "proste" kopiowanie plików nie wystarczy. Z drugiej strony ciągle pozostaje pytanie czy aby na pewno sekret jest wystarczająco dobrze chroniony i czy wymaga świadomej akcji użytkownika, której malware nie jest w stanie w prosty sposób zasymulować / wymusić.
P.S. Dodam jedną rzecz na koniec - w przypadku takich rozwiązań (karta w telefonie) warto zadać sobie pytanie czy nowe rozwiązanie jest bezpieczniejsze, niż to, co dostępne jest już obecnie. To dość ciekawy eksperyment myślowy. Przykładowo kilka lat temu starałem się porównać płatności zbliżeniowe z noszeniem przy sobie gotówki. Wyglądało to całkiem sensownie przy założeniu, że po przekroczeniu pewnej kwoty dla płatności zbliżeniowych konieczne będzie podanie kodu PIN. Od tego czasu minęło już ładnych kilka lat i do tej pory nigdy nie zdażyło mi się podawać PIN przy płatnościach poniżej 50 PLN. Z drugiej strony pozytywnie zostałem zaskoczony w sytuacji, gdy starałem zmienić się dane karty w Amazon. Przy wymianie karty dane karty (numer) pozostał ten sam, natomiast CVV i data ważności uległy zmianie. Zachowanie Amazon w tej sytuacji bynajmniej nie było intuicyjne i... błyskawicznie zadzwonił do mnie mój bank informując mnie o nietypowej aktywności na mojej karcie.
