El engaño de Apple Pay a través de un portal cautivo de Wi-Fi podría engañar a los usuarios para compartir datos de tarjetas de crédito

La conectividad automática del iPhone con Wi-Fi podría engañar a los usuarios para compartir datos de tarjetas de crédito en un Apple Pay falsificado

Apple ha sido alertada por investigadores de Wandera, una empresa de seguridad móvil, sobre una posible vulnerabilidad de seguridad en iOS que podría ser utilizada por hackers para engañar a los usuarios y hacer que compartan su información personal y de tarjetas de crédito. Dependiendo del comportamiento predeterminado de los dispositivos iOS con Wi-Fi activado, la vulnerabilidad podría ser utilizada para mostrar una página falsa de “portal cautivo” que actúa como la interfaz de Apple Pay.

Ars ha informado en el pasado sobre los ataques que aprovechan este problema bien conocido: los dispositivos iOS con Wi-Fi activado intentarán por defecto vincularse a cualquier punto de acceso con un SSID conocido. Siempre que el dispositivo no esté conectado a una red, esos SSIDs se transmiten mediante mensajes de “sondeo” desde el dispositivo. Un punto de acceso inferior podría utilizar una captura de solicitud de sondeo y pretender ser una red conocida, y luego mostrar una pantalla emergente que se comporta como cualquier página web o aplicación.

El ataque de Wandera utiliza esta acción para hacer que un dispositivo móvil se conecte y luego impulsa una página de portal emergente—similar a las que se utilizan al conectarse a un servicio WiFi público para mostrar una pantalla de inicio de sesión basada en la web—que está creada para parecerse a una pantalla de Apple Pay para ingresar información de datos de tarjetas de crédito. El ataque podría ser llevado a cabo por alguien cercano a un cliente que está realizando una transacción de Apple Pay o que acaba de completarla, de modo que el usuario es engañado para creer que Apple Pay está pidiendo que se ingresen nuevamente los datos de la tarjeta de crédito. Un atacante podría esperar o caminar ocioso cerca de un sistema de punto de venta con un terminal de Apple Pay y continuar llevando a cabo el ataque.

Sin embargo, este ataque puede no engañar a muchas personas considerando que la página falsa del portal cautivo se muestra debajo de una barra de título “Iniciar sesión”.

En una declaración enviada por correo electrónico a Ars, Eldar Tuvey, CEO de Wandera, dijo: “En lugares de alta afluencia, incluso una proporción muy pequeña de éxito generará un gran número de valiosos números de tarjetas de crédito. Es todo tan fácil para ellos. Usando tecnología fácilmente disponible, que pueden estar llevando discretamente, los hackers pueden por primera vez enfocar sus esfuerzos donde sus víctimas son más susceptibles—en la caja.”

La verdadera susceptibilidad utilizada aquí es la conexión automática de WiFi de iOS y la forma en que iOS muestra las páginas de portal cautivo. Algunas formas sencillas de detener este tipo de ataque son apagar el Wi-Fi cuando no se está conectando intencionalmente a una red. Los investigadores de Wandera sugirieron que Google y Apple deberían “considerar adoptar una advertencia segura al mostrar páginas de portal cautivo a los usuarios, para que los usuarios ejerzan precaución.” Además, también sugirieron que los usuarios deberían cerrar y volver a abrir las aplicaciones de pago para ingresar los datos de la tarjeta de crédito y utilizar la capacidad de captura de cámara de las aplicaciones para ingresar los datos de la tarjeta de crédito siempre que puedan hacerlo.

Ars aún está esperando una respuesta oficial de Apple, cuando los contactó sobre lo mismo. Este engaño, como sugieren las capturas de pantalla, se ve notablemente diferente de la interfaz real de Apple Pay. Además, una pantalla de registro de tarjeta que aparece después de una transacción no es un comportamiento esperado para el servicio, ya que Apple Pay nunca solicita datos de tarjetas de crédito durante una transacción.