恶意WiFi 捕获门户可欺骗Apple Pay获取用户信用卡数据

Wandera移动安全公司研究人员表示已经告警Apple：iOS中存在一个可被攻击者利用的潜在安全漏洞，可欺骗用户放弃信用卡数据及个人信息。这个漏洞基于开启WiFi的iOS设备的默认行为，可用户劫持一个虚假的“捕获门户”页面并模拟Apple Pay界面。

攻击利用的问题广为人知：WiFi开启的iOS设备会默认尝试连接至任何带有已知SSID的访问点。这些SSID由来自没有联网设备的“调查”信息播放。一个恶意访问点可利用调查请求捕获伪装成一个已知网络，随后弹出一个伪装成任意网络页面或appde 弹窗。

Wandera攻击利用这种行为让一款移动设备联网并展示弹窗门户页面——也就是连接到公共WiFi服务会显示网页登陆屏幕的类型——这样做的目的 是模仿Apple Pay输入信用卡数据的屏幕。该攻击可由用户附近的人发起，用户可能刚刚完成或正在进行Apple Pay交易，这样用户可能认为Apple Pay在要求重新输入信用卡数据。攻击者可在拥有Apple Pay终端的POS系统附近徘徊并持续发动攻击。

鉴于虚假捕获门户网页在“登录”主题栏下方显示，这种攻击可能不会让太多人上当。

Wandera的首席执行官表示，在客流量大的地方，即便是成功率很低的攻击也会得到一大批有价值的信用卡卡号。攻击者只要利用现成技术，就可在受害者最容易上当的地方如结账台伺机行动。

这里利用的真正漏洞时iOS自动WiFi连接以及iOS展现捕获门户页面的格式。抵御此类攻击的方法很简单，比如可以在不必要的时候关闭自动 WiFi连接。Wandera研究人员建议Apple跟谷歌应当“在向用户显示捕获门户页面时发出安全警告信息，这样可引起用户注意。”此外，他们还建议 用户关闭并重新开启支付应用输入信用卡数据并利用app的摄像头捕获功能输入信用卡数据。

Apple目前未做出回应。如截图所示，这种诈骗跟Apple Pay的真实界面有很大的不同，而且交易完成之后弹出卡注册屏幕并非Apple Pay的预设行为。Apple Pay从未在交易过程中要求获得信用卡数据。

本文将持续更新，敬请期待。

本文由测腾代码卫士编译，不代表测腾观点，转载请注明“转自测腾代码卫士www.codesafe.cn”。