iPhone内のクレジットカード情報を公衆無線LAN経由で盗み出せることが判明

公衆無線LANによっては、接続したあとにブラウザでポータルサイトが立ち上がることがあります。ここからサービスにログインすれば無料でWi-Fiが使えるようになるのですが、この機能を利用してiPhoneからクレジットカードデータや個人情報などを抜き取ることが可能となる脆弱性が発見されました。

Evil Wi-Fi captive portal could spoof Apple Pay to get users’ credit card data | Ars Technica
http://arstechnica.com/security/2015/06/evil-wifi-captive-portal-could-fool-users-into-giving-up-apple-pay-data/

モバイルセキュリティを研究する企業Wanderaの研究チームは、「iOS端末が自動Wi-Fiログイン機能を使った際にニセのログイン画面を表示できる」という脆弱性を発見しました。この脆弱性を利用すれば、Wi-Fiに接続した時に自社のポータルサイトなどを強制的に立ち上げる「Captive Portal」技術を応用して、iOS端末をWi-Fiに接続した際に「Apple Payの支払い画面」に酷似したページを表示することで、Wi-Fiにつなごうとしたユーザーの個人情報やクレジットカード情報を盗み出すことが可能、と指摘しています。

以下が実際にApple Payの決済画面(左)と、Captive Portalで呼び出し可能な偽のApple Payの決済画面(右)を並べたところ。ページの見出しや入力欄などがほぼ同じレイアウトですが、偽のページはログイン画面として立ち上げているため、タイトルバーに「Log In」と表示されているのがわかります。よく見れば回避できるものですが、Apple Payの決済手続きの最中にWi-Fiが切れてしまい、つなぎ直した先でこの画面が表示されれば、間違ってクレジットデータなどを入力してしまう可能性があります。また、アタッカーがApple Pay対応端末が置かれたPOSシステムの近くや、人口密集地帯のWi-Fiにこのページを仕込むことも考えられます。

これは「iOS端末が自動Wi-Fiログイン機能を使った際にニセのログイン画面を表示できる」という脆弱性であるため、不要なときはWi-Fiをオフにしておくことが最大の対策となります。Wanderaは「このような手口にユーザーがだまされないように、AppleおよびGoogleはポータルサイトが立ち上がるときはわかりやすい警告を入れるべきだ」と提案しています。

なお、今回の脆弱性を報じたArs Technicaは、Appleの広報担当に確認をとっていますが、記事作成時点ではAppleから返答は得られていないとのことです。