La falsificazione di Apple Pay tramite portale captive Wi-Fi potrebbe ingannare gli utenti a condividere dati della carta di credito

La connettività automatica dell’iPhone con il Wi-Fi potrebbe ingannare gli utenti a condividere i dati della carta di credito su Apple Pay falsificato

Apple è stata avvisata dai ricercatori di Wandera, una società di sicurezza mobile, riguardo a una potenziale vulnerabilità di sicurezza in iOS che potrebbe essere utilizzata dagli hacker per ingannare gli utenti a condividere le proprie informazioni personali e i dati della carta di credito. A seconda del comportamento predefinito dei dispositivi iOS con Wi-Fi attivato, la vulnerabilità potrebbe essere utilizzata per mettere in atto una falsa pagina di “portale captive” che si comporta come l’interfaccia di Apple Pay.

Ars ha in passato riportato sugli attacchi che sfruttano questo problema ben noto: i dispositivi iOS con Wi-Fi attivato tenteranno per impostazione predefinita di collegarsi a qualsiasi punto di accesso con un SSID conosciuto. Ogni volta che il dispositivo non è connesso a una rete, quegli SSID vengono trasmessi tramite messaggi di “probe” dal dispositivo. Un punto di accesso inferiore potrebbe utilizzare una cattura della richiesta di probe e fingersi una rete conosciuta, per poi mostrare una schermata pop-up che si comporta come qualsiasi pagina web o app.

L’attacco di Wandera utilizza questa azione per far connettere un dispositivo mobile e poi lancia una pagina del portale pop-up—simile a quelle utilizzate quando ci si connette a un servizio WiFi pubblico per mostrare una schermata di accesso basata sul web—creata per sembrare una schermata di Apple Pay per inserire i dati della carta di credito. L’attacco potrebbe essere portato avanti da qualcuno vicino a un cliente che sta effettuando una transazione Apple Pay o che l’ha appena completata, in modo che l’utente venga ingannato a credere che Apple Pay stesso stia chiedendo di reinserire i dati della carta di credito. Un attaccante potrebbe aspettare o gironzolare vicino a un sistema di punto vendita con un terminale Apple Pay e continuare a portare avanti l’attacco.

Tuttavia, questo attacco potrebbe non ingannare molte persone considerando che la falsa pagina del portale captive viene mostrata sotto una barra del titolo “Accedi”.

In una dichiarazione inviata via e-mail ad Ars, Eldar Tuvey, CEO di Wandera, ha dichiarato: “In luoghi ad alta affluenza, anche un rapporto di successo molto piccolo produrrà un gran numero di numeri di carta di credito preziosi. È tutto così facile per loro. Utilizzando tecnologie facilmente disponibili, che potrebbero portare discretamente con sé, gli hacker possono per la prima volta concentrare i loro sforzi dove le loro vittime sono più suscettibili—alla cassa.”

La vera vulnerabilità utilizzata qui è la connessione automatica WiFi di iOS e il modo in cui iOS mostra le pagine del portale captive. Alcuni modi semplici per fermare questo tipo di attacco sono spegnere il Wi-Fi quando non ci si sta connettendo a una rete di proposito. I ricercatori di Wandera hanno suggerito che Google e Apple dovrebbero “considerare di adottare un avviso sicuro quando mostrano pagine del portale captive agli utenti, in modo che gli utenti esercitino cautela.” Inoltre, hanno anche suggerito che gli utenti dovrebbero chiudere e riaprire le applicazioni di pagamento per inserire i dati della carta di credito e utilizzare la capacità di cattura della fotocamera delle app per inserire i dati della carta di credito ogni volta che possono farlo.

Ars è ancora in attesa di una risposta ufficiale da Apple, quando li ha contattati riguardo a questo. Questa falsificazione, come suggeriscono gli screenshot, appare notevolmente diversa dall’interfaccia reale di Apple Pay. Inoltre, una schermata di registrazione della carta che appare dopo una transazione non è un comportamento previsto per il servizio, poiché Apple Pay non richiede mai i dati della carta di credito durante una transazione.