Falsificação do Apple Pay por portal cativo Wi-Fi pode enganar usuários a compartilhar dados de cartão de crédito

A conectividade automática do iPhone com Wi-Fi pode enganar usuários a compartilhar dados de cartão de crédito em Apple Pay falsificado

A Apple foi alertada por pesquisadores da Wandera, uma empresa de segurança móvel, sobre uma potencial vulnerabilidade de segurança no iOS que poderia ser usada por hackers para enganar usuários a compartilhar suas informações pessoais e de cartão de crédito. Dependendo do comportamento padrão dos dispositivos iOS com Wi-Fi ativado, a vulnerabilidade poderia ser usada para colocar uma página de “portal cativo” falsa que age como a interface do Apple Pay.

A Ars já relatou no passado sobre as alavancas do ataque, que é um problema bem conhecido: dispositivos iOS com Wi-Fi ativado tentarão por padrão se conectar a qualquer ponto de acesso com um SSID conhecido. Sempre que o dispositivo não está conectado a uma rede, esses SSIDs são transmitidos por mensagens de “probe” do dispositivo. Um ponto de acesso inferior poderia usar uma captura de solicitação de probe e fingir ser uma rede conhecida, e então exibir uma tela pop-up se comportando como qualquer página da web ou aplicativo.

O ataque da Wandera usa essa ação para fazer um dispositivo móvel se conectar e então impulsiona uma página de portal pop-up—semelhante às usadas ao se conectar a um serviço Wi-Fi público para mostrar uma tela de login baseada na Web—que é criada para parecer uma tela do Apple Pay para inserir informações de dados do cartão de crédito. O ataque poderia ser realizado por alguém próximo a um cliente que está realizando uma transação Apple Pay ou acabou de completar, de modo que o usuário é enganado a acreditar que o próprio Apple Pay está pedindo que os dados do cartão de crédito sejam inseridos novamente. Um atacante poderia esperar ou andar ocioso perto de um sistema de ponto de venda com um terminal Apple Pay e continuar a realizar o ataque.

No entanto, esse ataque pode não enganar muitas pessoas, considerando que a página de portal cativo falsa é exibida sob uma barra de título “Entrar”.

Em uma declaração enviada por e-mail à Ars, Eldar Tuvey, CEO da Wandera, disse: “Em locais de alta circulação, mesmo uma taxa de sucesso muito pequena resultará em um grande número de números de cartões de crédito valiosos. É tudo tão fácil para eles. Usando tecnologia prontamente disponível, que podem estar discretamente carregando, os hackers podem pela primeira vez concentrar seus esforços onde suas vítimas estão em seu estado mais suscetível—no checkout.”

A verdadeira suscetibilidade usada aqui é a conexão automática Wi-Fi do iOS e a forma como o iOS exibe as páginas de portal cativo. Algumas maneiras fáceis de parar esse tipo de ataque são desligar o Wi-Fi quando não estiver se conectando intencionalmente a uma rede. Os pesquisadores da Wandera sugeriram que o Google e a Apple deveriam “considerar adotar um aviso seguro ao exibir páginas de portal cativo para os usuários, para que os usuários exerçam cautela.” Além disso, eles também sugeriram que os usuários deveriam fechar e reabrir aplicativos de pagamento para inserir dados do cartão de crédito e usar a capacidade de captura de câmera dos aplicativos para inserir dados do cartão de crédito sempre que puderem.

A Ars ainda está aguardando uma resposta oficial da Apple, quando os contatou sobre o mesmo. Essa falsificação, como as capturas de tela sugerem, parece notavelmente diferente da interface real do Apple Pay. Além disso, uma tela de registro de cartão aparecendo após uma transação não é um comportamento esperado para o serviço, já que o Apple Pay nunca solicita dados do cartão de crédito durante uma transação.