Спуфинг Apple Pay через Wi-Fi точку доступа может обмануть пользователей на передачу данных кредитной карты

Автосоединение iPhone с Wi-Fi может обмануть пользователей на передачу данных кредитной карты через поддельный Apple Pay

Apple была предупреждена исследователями из Wandera, компании по мобильной безопасности, о потенциальной уязвимости безопасности в iOS, которую могут использовать хакеры для обмана пользователей на передачу их личной информации и данных кредитной карты. В зависимости от поведения по умолчанию устройств iOS с включенным Wi-Fi, уязвимость может быть использована для отображения поддельной страницы “точки доступа”, которая ведет себя как интерфейс Apple Pay.

Ars ранее сообщала о методах атаки, которые являются хорошо известной проблемой: устройства iOS с включенным Wi-Fi по умолчанию будут пытаться подключиться к любой точке доступа с известным SSID. Каждый раз, когда устройство не подключено к сети, эти SSID передаются через сообщения “probe” от устройства. Низкокачественная точка доступа может использовать захват запроса probe и притвориться известной сетью, а затем вывести всплывающее окно, ведущее себя как любая веб-страница или приложение.

Атака Wandera использует это действие, чтобы заставить мобильное устройство подключиться, а затем выводит всплывающую портал-страницу — аналогичную тем, что используются при подключении к публичному WiFi-сервису для отображения веб-страницы входа в систему — которая создана, чтобы выглядеть как экран Apple Pay для ввода данных кредитной карты. Атака может быть осуществлена кем-то рядом с клиентом, который проводит транзакцию Apple Pay или только что завершил ее, так что пользователь обманут в вере, что сам Apple Pay просит снова ввести данные кредитной карты. Нападающий может ждать или бездельничать рядом с системой точки продаж с терминалом Apple Pay и постоянно продолжать атаку.

Однако эта атака может не обмануть многих людей, учитывая, что поддельная страница точки доступа отображается под заголовком “Войти”.

В заявлении, отправленном по электронной почте в Ars, Эльдар Тувей, генеральный директор Wandera, сказал: “В местах с высоким потоком людей даже очень маленькое соотношение успеха приведет к большому количеству ценных номеров кредитных карт. Это так легко для них. Используя доступные технологии, которые они могут незаметно носить с собой, хакеры могут впервые сосредоточить свои усилия там, где их жертвы наиболее уязвимы — на кассе.”

Настоящая уязвимость, используемая здесь, — это автоматическое соединение Wi-Fi в iOS и способ, которым iOS отображает страницы точек доступа. Некоторые простые способы остановить такую атаку — это отключить Wi-Fi, когда не планируется подключение к сети. Исследователи Wandera предложили, чтобы Google и Apple “рассмотрели возможность принятия безопасного предупреждения при отображении страниц точек доступа пользователям, чтобы пользователи проявляли осторожность.” Кроме того, они также предложили, чтобы пользователи закрывали и повторно открывали платежные приложения для ввода данных кредитной карты и использовали возможность захвата камеры приложений для ввода данных кредитной карты, когда это возможно.

Ars все еще ожидает официального ответа от Apple, когда они связались с ними по этому вопросу. Этот спуфинг, как показывают скриншоты, выглядит заметно иначе, чем фактический интерфейс Apple Pay. Более того, экран регистрации карты, появляющийся после транзакции, не является поведением, ожидаемым для сервиса, так как Apple Pay никогда не запрашивает данные кредитной карты во время транзакции.