Wi-FiキャプティブポータルによるApple Payの偽装がユーザーにクレジットカードデータを共有させる可能性

iPhoneのWi-Fi自動接続が偽のApple Payでユーザーを騙してクレジットカードデータを共有させる可能性

Appleは、モバイルセキュリティ会社Wanderaの研究者から、ハッカーがユーザーを騙して個人情報やクレジットカードデータを共有させるために利用できるiOSの潜在的なセキュリティ脆弱性について警告を受けています。Wi-FiがオンになっているiOSデバイスのデフォルトの動作に応じて、この脆弱性はApple Payインターフェースのように見える偽の「キャプティブポータル」ページを表示するために使用される可能性があります。

Arsは過去に、この攻撃の手法について報告しています。これはよく知られた問題です：Wi-FiがオンになっているiOSデバイスは、デフォルトで既知のSSIDを持つアクセスポイントに接続しようとします。デバイスがネットワークに接続されていない場合、これらのSSIDはデバイスからの「プローブ」メッセージによって送信されます。劣ったアクセスポイントはプローブリクエストをキャプチャし、既知のネットワークとして偽装し、任意のウェブページやアプリのように振る舞うポップアップ画面を表示することができます。

Wanderaの攻撃は、このアクションを利用してモバイルデバイスを接続させ、その後、公共Wi-Fiサービスに接続する際に表示されるWebベースのログイン画面のようなポップアップポータルページを表示します。このページは、クレジットカードデータ情報を入力するためのApple Pay画面のように見えるように作成されています。この攻撃は、Apple Pay取引を行っている顧客の近くにいる誰かによって実行される可能性があり、ユーザーはApple Pay自体が再度クレジットカードデータの入力を求めていると信じ込まされます。攻撃者は、Apple Pay端末を持つ販売時点システムの近くで待機したり、無駄に歩き回ったりして攻撃を続けることができます。

しかし、この攻撃は「ログイン」というタイトルバーの下に偽のキャプティブポータルページが表示されるため、多くの人を騙すことはないかもしれません。

WanderaのCEOであるEldar Tuveyは、Arsに送信された声明の中で「人が多く集まる場所では、非常に小さな成功率でも多くの貴重なクレジットカード番号を得ることができます。彼らにとってはとても簡単です。彼らが密かに持ち歩いているかもしれない入手可能な技術を使用して、ハッカーは初めて、被害者が最も脆弱な状態にある場所—チェックアウト時に—に焦点を当てることができます。」と述べました。

ここで使用されている実際の脆弱性は、iOSの自動Wi-Fi接続と、iOSがキャプティブポータルページを表示する方法です。この種の攻撃を防ぐ簡単な方法のいくつかは、ネットワークに意図的に接続していないときはWi-Fiをオフにすることです。Wanderaの研究者は、GoogleとAppleが「ユーザーにキャプティブポータルページを表示する際に安全な警告を採用することを検討すべきだ」と提案しました。さらに、ユーザーはクレジットカードデータを入力するために決済アプリケーションを閉じて再度開き、可能な限りアプリのカメラキャプチャ機能を使用してクレジットカードデータを入力することを提案しました。

Arsは、Appleに対して同様の件について連絡した際の公式な返信をまだ待っています。この偽装は、スクリーンショットが示すように、Apple Payの実際のインターフェースとは著しく異なります。さらに、取引後に表示されるカード登録画面は、Apple Payが取引中にクレジットカードデータを要求することはないため、サービスに期待される動作ではありません。