Wi-Fi 포털을 통한 Apple Pay 스푸핑이 사용자에게 신용 카드 데이터를 공유하도록 속일 수 있음

iPhone의 자동 Wi-Fi 연결이 스푸핑된 Apple Pay에서 신용 카드 데이터를 공유하도록 사용자에게 속일 수 있음

Apple은 모바일 보안 회사인 Wandera의 연구자들로부터 해커들이 사용자를 속여 개인 및 신용 카드 데이터 정보를 공유하도록 할 수 있는 iOS의 잠재적 보안 취약점에 대한 경고를 받았습니다. Wi-Fi가 켜져 있는 iOS 장치의 기본 동작에 따라, 이 취약점은 Apple Pay 인터페이스처럼 작동하는 가짜 “캡티브 포털” 페이지를 표시하는 데 사용될 수 있습니다.

Ars는 과거에 이 공격의 활용에 대해 보도한 바 있으며, 이는 잘 알려진 문제입니다: Wi-Fi가 켜져 있는 iOS 장치는 기본적으로 알려진 SSID가 있는 모든 액세스 포인트에 연결하려고 시도합니다. 장치가 네트워크에 연결되어 있지 않을 때, 이러한 SSID는 장치에서 “프로브” 메시지로 전송됩니다. 열악한 액세스 포인트는 프로브 요청을 캡처하고 알려진 네트워크인 척할 수 있으며, 그런 다음 웹 페이지나 앱처럼 행동하는 팝업 화면을 표시할 수 있습니다.

Wandera 공격은 이 행동을 사용하여 모바일 장치를 연결하고, 공공 WiFi 서비스에 연결할 때 웹 기반 로그인 화면을 표시하는 것과 유사한 팝업 포털 페이지를 추진합니다. 이 페이지는 신용 카드 데이터 정보를 입력하기 위해 Apple Pay 화면처럼 보이도록 만들어졌습니다. 이 공격은 Apple Pay 거래를 수행 중이거나 방금 완료한 고객 근처에 있는 사람이 수행할 수 있으며, 사용자가 Apple Pay 자체가 신용 카드 데이터를 다시 입력하라고 요청하고 있다고 믿도록 속일 수 있습니다. 공격자는 Apple Pay 단말기가 있는 판매 시점 시스템 근처에서 대기하거나 돌아다니며 지속적으로 공격을 수행할 수 있습니다.

그러나 이 공격은 가짜 캡티브 포털 페이지가 “로그인” 제목 표시줄 아래에 표시되기 때문에 많은 사람들을 속이지 못할 수 있습니다.

Wandera의 CEO인 Eldar Tuvey는 Ars에 이메일로 보낸 성명에서 “유동 인구가 많은 장소에서는 매우 작은 성공 비율조차도 많은 수의 귀중한 신용 카드 번호를 생성할 것입니다. 그들에게는 모든 것이 너무 쉽습니다. 그들이 discreetly 소지하고 있을 수 있는 쉽게 구할 수 있는 기술을 사용하여 해커들은 처음으로 피해자가 가장 취약한 지점인 체크아웃에서 그들의 노력을 집중할 수 있습니다.”라고 말했습니다.

여기서 사용되는 실제 취약점은 iOS의 자동 WiFi 연결과 iOS가 캡티브 포털 페이지를 표시하는 방식입니다. 이러한 종류의 공격을 막는 몇 가지 쉬운 방법은 네트워크에 의도적으로 연결하지 않을 때 Wi-Fi를 끄는 것입니다. Wandera 연구자들은 Google과 Apple이 “사용자에게 캡티브 포털 페이지를 표시할 때 안전 경고를 채택하는 것을 고려해야 한다”고 제안했습니다. 또한, 사용자들은 신용 카드 데이터를 입력하기 위해 결제 애플리케이션을 닫았다가 다시 열고, 가능한 경우 앱의 카메라 캡처 기능을 사용하여 신용 카드 데이터를 입력해야 한다고 제안했습니다.

Ars는 이에 대해 Apple에 연락했을 때 공식적인 답변을 기다리고 있습니다. 이 스푸핑은 스크린샷이 제안하는 것처럼 Apple Pay의 실제 인터페이스와 현저히 다르게 보입니다. 또한 거래 후에 나타나는 카드 등록 화면은 서비스에 대해 예상되는 행동이 아니며, Apple Pay는 거래 중에 신용 카드 데이터를 요청하지 않습니다.