La Black Hat USA y la Defcon de este año ya han pasado. Siempre hay noticias relacionadas con el mundo Apple y, en esta ocasión, tenemos que hablar del Apple Pay. El mecanismo para los pagos de Apple sigue estando en el punto de mira de muchos investigadores. En esta ocasión, han presentado dos ataques distintos contra el Apple Pay, destacando lo que se afirma como debilidades en el método de pago móvil. Uno de los ataques requiere del Jailbreak en el dispositivo, mientras que el otro ataque no.
En el primer ataque, los investigadores de Positive Technologies, se debería tener un dispositivo con Jailbreak e infectado con malware. Habiendo logrado esto, se podría interceptar el tráfico que se dirige al servidor de Apple, en este caso, con los datos de pago que se agregan a la cuenta del dispositivo. Es el escenario más sencillo, desde el punto de vista técnico. El segundo ataque se puede realizar contra cualquier dispositivo dónde se intercepta y manipula el tráfico de transacciones SSL sin emplear ningún equipo sofisticado, según indican los investigadores. El ataque consiste en reproducir o manipular los datos de la transacción, cambiando la cantidad o la moneda que se está pagando o cambiando los detalles de entrega de las mercancías que se están comprando.
Figura 1: Apple Pay |
El primer paso del segundo ataque consiste en que el atacante robe el token de pago del dispositivo de la víctima. Para ello, utilizarán una WiFi pública u ofrecerán su propio hotspot WiFi falso. Ahora, se solicitará a los usuarios que creen un perfil. Desde este instante se puede extraer el criptograma de Apple Pay, la clave para cifrar los datos. Apple indica que el criptograma sólo debe utilizarse una vez. Sin embargo, los comerciantes y las pasarelas de pago se establecen para permitir que los criptogramas puedan ser utilizados más de una vez. Dado que la información de entrega se envía en texto claro, sin comprobar su integridad, el atacante puede utilizar un criptograma interceptado para realizar pagos posteriores en el mismo sitio web, cargando a la víctima dichas transacciones. Según los investigadores: "Los atacantes pueden registrar los datos de la tarjeta robada en su propia cuenta de iPhone o pueden interceptar el tráfico SSL entre el dispositivo y el servidor de Apple para realizar pagos fraudulentos directamente desde el teléfono de la víctima".
La recomendacion de Positive Technology y de sus investigadores es que los usuarios estén atentos cuando utilicen Apple Pay para comprar artículos en línea, en particular monitorizando el uso de HTTPs y evitar realizar transacciones en entornos WiFi públicos dónde el tráfico pueda ser fácilmente detectado y manipulado.
No hay comentarios:
Publicar un comentario