Spoofing von Apple Pay durch Wi-Fi-Captive-Portal könnte Benutzer dazu bringen, Kreditkartendaten zu teilen

Die automatische WLAN-Verbindung des iPhones könnte Benutzer dazu bringen, Kreditkartendaten auf gefälschtem Apple Pay zu teilen

Apple wurde von Forschern bei Wandera, einem Unternehmen für mobile Sicherheit, auf eine potenzielle Sicherheitsanfälligkeit in iOS aufmerksam gemacht, die von Hackern genutzt werden könnte, um Benutzer dazu zu bringen, ihre persönlichen und Kreditkarteninformationen zu teilen. Je nach Standardverhalten von iOS-Geräten mit aktiviertem WLAN könnte die Schwachstelle verwendet werden, um eine gefälschte “Captive Portal”-Seite anzuzeigen, die wie die Apple Pay-Oberfläche aussieht.

Ars hat in der Vergangenheit über die Angriffsmethoden berichtet, die ein bekanntes Problem sind: iOS-Geräte mit aktiviertem WLAN versuchen standardmäßig, sich mit jedem Zugangspunkt mit einer bekannten SSID zu verbinden. Immer wenn das Gerät nicht mit einem Netzwerk verbunden ist, werden diese SSIDs durch “Probe”-Nachrichten vom Gerät übertragen. Ein minderwertiger Zugangspunkt könnte eine Probeanforderung abfangen und sich als bekanntes Netzwerk ausgeben, um dann einen Pop-up-Bildschirm anzuzeigen, der sich wie jede Webseite oder App verhält.

Der Wandera-Angriff nutzt diese Aktion, um ein mobiles Gerät zu verbinden und dann eine Pop-up-Portal-Seite anzuzeigen – ähnlich denjenigen, die beim Verbinden mit einem öffentlichen WLAN-Dienst verwendet werden, um einen webbasierten Anmeldebildschirm anzuzeigen – die so gestaltet ist, dass sie wie ein Apple Pay-Bildschirm aussieht, um Kreditkarteninformationen einzugeben. Der Angriff könnte von jemandem in der Nähe eines Kunden durchgeführt werden, der eine Apple Pay-Transaktion durchführt oder gerade abgeschlossen hat, sodass der Benutzer getäuscht wird zu glauben, dass Apple Pay selbst darum bittet, die Kreditkartendaten erneut einzugeben. Ein Angreifer könnte warten oder untätig in der Nähe eines Kassensystems mit einem Apple Pay-Terminal herumlaufen und den Angriff kontinuierlich durchführen.

Dieser Angriff könnte jedoch nicht viele Menschen täuschen, da die gefälschte Captive-Portal-Seite unter einer “Anmelden”-Titelzeile angezeigt wird.

In einer per E-Mail an Ars gesendeten Erklärung sagte Eldar Tuvey, CEO von Wandera: “An Orten mit hohem Fußverkehr wird selbst eine sehr kleine Erfolgsquote eine große Anzahl wertvoller Kreditkartennummern liefern. Es ist für sie so einfach. Mit leicht verfügbarer Technologie, die sie möglicherweise diskret bei sich tragen, können Hacker zum ersten Mal ihre Bemühungen dort konzentrieren, wo ihre Opfer am anfälligsten sind – an der Kasse.”

Die tatsächliche Anfälligkeit, die hier genutzt wird, ist die automatische WLAN-Verbindung von iOS und die Art und Weise, wie iOS die Captive-Portal-Seiten anzeigt. Einige einfache Möglichkeiten, um diese Art von Angriff zu stoppen, sind das Ausschalten des WLANs, wenn man absichtlich nicht mit einem Netzwerk verbunden ist. Die Forscher von Wandera schlugen vor, dass Google und Apple “in Erwägung ziehen sollten, eine sichere Warnung anzuzeigen, wenn Captive-Portal-Seiten den Benutzern angezeigt werden, damit die Benutzer Vorsicht walten lassen.” Darüber hinaus schlugen sie auch vor, dass Benutzer Zahlungsanwendungen schließen und erneut öffnen sollten, um Kreditkartendaten einzugeben, und die Kamerafunktion der Apps nutzen sollten, um Kreditkartendaten einzugeben, wann immer sie dazu in der Lage sind.

Ars wartet noch auf eine offizielle Antwort von Apple, als sie bezüglich desselben kontaktiert wurden. Dieser Spoof sieht, wie die Screenshots zeigen, deutlich anders aus als die tatsächliche Benutzeroberfläche von Apple Pay. Darüber hinaus ist ein Bildschirm zur Kartenregistrierung, der nach einer Transaktion erscheint, kein Verhalten, das für den Dienst zu erwarten ist, da Apple Pay während einer Transaktion niemals nach Kreditkartendaten fragt.