导语:在Blach Hat会议上,Positive Technologies的安全研究人员宣布,现在可以利用Apple Pay移动支付中存在的漏洞来发动攻击。Positive Technologies称已经发现了两个潜在的攻击媒介。
在Blach Hat会议上,Positive Technologies的安全研究人员宣布,现在可以利用Apple Pay移动支付中存在的漏洞来发动攻击。Positive Technologies称已经发现了两个潜在的攻击媒介。
银行技术业务安全负责人Timur Yunusov说,相比较而言,ApplePay的支付系统相对安全一些,因为它有一个单独的微处理器来完成支付,而且卡里的数据信息是也不会存储在设备上的,更不会在付款期间以明文的形式进行传输。
在测试期间,我发现了至少有两种方法可以使这些注意事项变得毫无价值。其中一种攻击方式是依赖于越狱设备,这个部分所占的比例大概约有20%。另一种攻击方式则是针对“完好”的设备,完全不需要越狱,攻击者就可以将被盗卡片里的详细信息注册到自己的iPhone帐户, 或者可以拦截和Apple服务器之间的SSL流量设备,这样就可以直接从受害者的手机来进行欺诈性付款。
越狱后风险更高
Yunusov在谈话中提到的第一个攻击方式是需要越狱设备来进行工作的,这就意味着攻击者首先必须通过恶意程序来感染越狱设备,一旦感染了越狱设备,攻击者就可以将支付数据拦截到Apple服务器上。 而一旦黑客成功地感染了具有root用户权限的恶意软件设备,他们就可以达到最终目标。
第二个攻击方式不要求越狱,攻击者就可以拦截并/或伪造SSL流量,篡改交易数据,比如修改交易金额、币种,还有商品投递细节信息。
攻击者可以将窃取到的卡片信息,注册到其iPhone账户中,并进行交易;通过拦截设备与苹果服务器间的SSL流量进行欺诈支付。
El Reg解释说“第二个攻击方式,它的第一步就是黑客从受害者的手机中窃取付款令牌。 比如他们会通过利用公共Wi-Fi,或提供自己的“假冒”Wi-Fi热点,要求用户创建个人资料。 仅凭这一点他们就可以窃取ApplePay密码(加密数据的关键).但Apple声明这样的密码只能使用一次。 然而,商家和支付网关通常被设置为允许密码被多次使用。”
由于交货信息是以明文方式发送的,故而不能检查其完整性,这样黑客就可以使用截取到的密码在同一网站上进行后续付款,然后受害人将被收取这些交易所产生费用。
专家们强调,这种攻击也存在一些缺陷,比如说非法交易发生后受害者也会收到通知。这意味着受害者可以立马中止交易。因此,研究人员建议用户不要通过公共WiFi网络来使用Apple Pay,特别是用在未使用HTTPS的站点购买商品,因为攻击者可以很容易地对流量进行窃听。
Yunusov补充说:“一如以往的建议就是一定要避免越狱”另外一个预防措施是让用户避免下载不必要的应用程序,以防止恶意软件被添加到设备中。“
技术安全负责人已经向苹果公布了其调查结果,但同时也表示说,由于对安全链的组件有着重大的影响,所以修补程序的开发也并不简单。