Le spoofing d'Apple Pay par un portail captif Wi-Fi pourrait tromper les utilisateurs pour partager des données de carte de crédit

La connectivité automatique de l’iPhone avec le Wi-Fi pourrait tromper les utilisateurs pour partager des données de carte de crédit sur un Apple Pay falsifié

Apple a été alerté par des chercheurs de Wandera, une entreprise de sécurité mobile, d’une vulnérabilité potentielle dans iOS qui pourrait être exploitée par des hackers pour tromper les utilisateurs en leur faisant partager leurs informations personnelles et de carte de crédit. Selon le comportement par défaut des appareils iOS avec le Wi-Fi activé, la vulnérabilité pourrait être utilisée pour afficher une fausse page de « portail captif » qui agit comme l’interface d’Apple Pay.

Ars a déjà rapporté par le passé sur les leviers d’attaque, qui est un problème bien connu : les appareils iOS avec le Wi-Fi activé essaieront par défaut de se connecter à tout point d’accès avec un SSID connu. Chaque fois que l’appareil n’est pas connecté à un réseau, ces SSID sont transmis par des messages de « sonde » de l’appareil. Un point d’accès inférieur pourrait utiliser une capture de demande de sonde et prétendre être un réseau connu, puis afficher un écran contextuel se comportant comme n’importe quelle page Web ou application.

L’attaque de Wandera utilise cette action pour amener un appareil mobile à se connecter et ensuite propulse une page de portail contextuel—similaire à celles utilisées lors de la connexion à un service Wi-Fi public pour afficher un écran de connexion Web—qui est créée pour ressembler à un écran Apple Pay pour entrer des informations de carte de crédit. L’attaque pourrait être menée par quelqu’un à proximité d’un client qui effectue une transaction Apple Pay ou vient de la terminer, de sorte que l’utilisateur soit trompé en croyant qu’Apple Pay lui-même demande à ce que les données de carte de crédit soient saisies à nouveau. Un attaquant pourrait attendre ou se promener paresseusement près d’un système de point de vente avec un terminal Apple Pay et continuer l’attaque.

Cependant, cette attaque pourrait ne pas tromper beaucoup de gens étant donné que la fausse page de portail captif est affichée sous une barre de titre « Connexion ».

Dans une déclaration envoyée par e-mail à Ars, Eldar Tuvey, PDG de Wandera, a déclaré : « Dans des lieux à fort passage, même un très petit ratio de succès produira un grand nombre de numéros de carte de crédit précieux. C’est si facile pour eux. En utilisant une technologie facilement disponible, qu’ils peuvent discrètement transporter sur eux, les hackers peuvent pour la première fois concentrer leurs efforts là où leurs victimes sont les plus vulnérables—au moment du paiement. »

La véritable vulnérabilité utilisée ici est la connexion Wi-Fi automatique d’iOS et la manière dont iOS affiche les pages de portail captif. Quelques moyens simples d’arrêter ce type d’attaque consistent à désactiver le Wi-Fi lorsqu’on ne se connecte pas intentionnellement à un réseau. Les chercheurs de Wandera ont suggéré que Google et Apple devraient « envisager d’adopter un avertissement sécurisé lors de l’affichage des pages de portail captif aux utilisateurs, afin que les utilisateurs fassent preuve de prudence. » De plus, ils ont également suggéré que les utilisateurs devraient fermer et rouvrir les applications de paiement pour saisir les données de carte de crédit et utiliser la capacité de capture de caméra des applications pour entrer les données de carte de crédit chaque fois qu’ils en ont la possibilité.

Ars attend toujours une réponse officielle d’Apple, lorsqu’ils les ont contactés à ce sujet. Ce spoof, comme le suggèrent les captures d’écran, semble notablement différent de l’interface réelle d’Apple Pay. De plus, un écran d’enregistrement de carte apparaissant après une transaction n’est pas un comportement attendu pour le service, car Apple Pay ne demande jamais de données de carte de crédit pendant une transaction.