モバイル

iPhone内のクレジットカード情報を公衆無線LAN経由で盗み出せることが判明


公衆無線LANによっては、接続したあとにブラウザでポータルサイトが立ち上がることがあります。ここからサービスにログインすれば無料でWi-Fiが使えるようになるのですが、この機能を利用してiPhoneからクレジットカードデータや個人情報などを抜き取ることが可能となる脆弱性が発見されました。

Evil Wi-Fi captive portal could spoof Apple Pay to get users’ credit card data | Ars Technica
http://arstechnica.com/security/2015/06/evil-wifi-captive-portal-could-fool-users-into-giving-up-apple-pay-data/


モバイルセキュリティを研究する企業Wanderaの研究チームは、「iOS端末が自動Wi-Fiログイン機能を使った際にニセのログイン画面を表示できる」という脆弱性を発見しました。この脆弱性を利用すれば、Wi-Fiに接続した時に自社のポータルサイトなどを強制的に立ち上げる「Captive Portal」技術を応用して、iOS端末をWi-Fiに接続した際に「Apple Payの支払い画面」に酷似したページを表示することで、Wi-Fiにつなごうとしたユーザーの個人情報やクレジットカード情報を盗み出すことが可能、と指摘しています。

以下が実際にApple Payの決済画面(左)と、Captive Portalで呼び出し可能な偽のApple Payの決済画面(右)を並べたところ。ページの見出しや入力欄などがほぼ同じレイアウトですが、偽のページはログイン画面として立ち上げているため、タイトルバーに「Log In」と表示されているのがわかります。よく見れば回避できるものですが、Apple Payの決済手続きの最中にWi-Fiが切れてしまい、つなぎ直した先でこの画面が表示されれば、間違ってクレジットデータなどを入力してしまう可能性があります。また、アタッカーがApple Pay対応端末が置かれたPOSシステムの近くや、人口密集地帯のWi-Fiにこのページを仕込むことも考えられます。


これは「iOS端末が自動Wi-Fiログイン機能を使った際にニセのログイン画面を表示できる」という脆弱性であるため、不要なときはWi-Fiをオフにしておくことが最大の対策となります。Wanderaは「このような手口にユーザーがだまされないように、AppleおよびGoogleはポータルサイトが立ち上がるときはわかりやすい警告を入れるべきだ」と提案しています。

なお、今回の脆弱性を報じたArs Technicaは、Appleの広報担当に確認をとっていますが、記事作成時点ではAppleから返答は得られていないとのことです。

この記事のタイトルとURLをコピーする

・関連記事
Apple Payを使った詐欺が横行、予想だにしなかった驚きの手口とは? - GIGAZINE

Apple渾身の決済サービス「Apple Pay」でバグ多発&二重課金も発生 - GIGAZINE

スマホをかざすだけで決済できる「Android Pay」で自販機からジュースをゲットするとこんな感じ - GIGAZINE

iPhone・iPadが無限再起動ループに突入する恐るべき脆弱性が発覚 - GIGAZINE

Appleの新決済システム「Apple Pay」はどれくらい安全なのか? - GIGAZINE

Appleの新決済システム「Apple Pay」の仕組みがよくわかるまとめ&実際に使ってみたよムービー - GIGAZINE

in モバイル, Posted by darkhorse_log

You can read the machine translated English article here.