Как Apple Pay может сделать сайты уязвимыми

Сразу стоит отметить, что это не недостаток самой Apple Pay — полученные данные говорят, что проблемы могут возникнуть из-за веб-соединений и сторонних интеграций. Джошуа Маддукс, исследователь в сфере информационной безопасности в аналитической компании PKC Security, впервые обратил на это внимание прошлой осенью, когда устанавливал Apple Pay для клиента.

Встраивая Apple Pay на сайт, вы автоматически подключаетесь к существующей инфраструктуре сервиса. Но Маддукс заметил, что соединение при этом может устанавливаться разными способами — это зависит от сайта, на который внедряется Apple Pay. Злоумышленник способен заменить его URL-адрес для связи с сервисом и извлечь данные для авторизации, что, в свою очередь, даст ему доступ к инфраструктуре сайта.

Эта проблема похожа на распространенный тип уязвимости, который называется «подделка запросов на стороне сервера». Он позволяет хакерам обходить такие средства защиты, как брандмауэры, и напрямую отправлять команды приложениям. Эти уязвимости представляют собой реальную угрозу и регулярно используются кибепреступниками. Так, в прошлом месяце они сыграли свою роль во взломе Capital One.

Впервые Маддукс сообщил Apple об этой проблеме в феврале. По его словам, с тех пор компания пересмотрела документацию по Apple Pay, чтобы уменьшить вероятность ее внедрения на сайты потенциально опасным способом. Однако похоже, что в саму программу изменения не внесли, говорит Маддукс. По его мнению, настройка Google Pay проходит с меньшим количеством рискованных вариаций.

Фото: Unsplash

Маддукс отмечает, что уязвимости на стороне сервера, связанные с подделкой запросов, возникают и в других интеграциях, а не только с модулем Apple Pay. Сейчас эту кнопку можно подключить более безопасным способом, если знать, как справиться с возможными проблемами, добавляет он.

Учитывая популярность Apple Pay в цифровом мире, на это уже давно пора обратить внимание.

Источник.