Истории

Как Apple Pay может сделать сайты уязвимыми

Истории
Анна Полякова
Анна Полякова

Редактор

Вероника Елкина

Apple Pay считается безопасным средством для онлайн-платежей, и с 2016 года магазины и сервисы встраивают его на свои сайты. Однако один из участников недавней конференции по кибербезопасности Black Hat представил исследование, которое показало, что из-за Apple Pay веб-страницы могут подвергаться хакерским атакам.

Как Apple Pay может сделать сайты уязвимыми

Сразу стоит отметить, что это не недостаток самой Apple Pay — полученные данные говорят, что проблемы могут возникнуть из-за веб-соединений и сторонних интеграций. Джошуа Маддукс, исследователь в сфере информационной безопасности в аналитической компании PKC Security, впервые обратил на это внимание прошлой осенью, когда устанавливал Apple Pay для клиента.

Встраивая Apple Pay на сайт, вы автоматически подключаетесь к существующей инфраструктуре сервиса. Но Маддукс заметил, что соединение при этом может устанавливаться разными способами — это зависит от сайта, на который внедряется Apple Pay. Злоумышленник способен заменить его URL-адрес для связи с сервисом и извлечь данные для авторизации, что, в свою очередь, даст ему доступ к инфраструктуре сайта.

Эта проблема похожа на распространенный тип уязвимости, который называется «подделка запросов на стороне сервера». Он позволяет хакерам обходить такие средства защиты, как брандмауэры, и напрямую отправлять команды приложениям. Эти уязвимости представляют собой реальную угрозу и регулярно используются кибепреступниками. Так, в прошлом месяце они сыграли свою роль во взломе Capital One.

Впервые Маддукс сообщил Apple об этой проблеме в феврале. По его словам, с тех пор компания пересмотрела документацию по Apple Pay, чтобы уменьшить вероятность ее внедрения на сайты потенциально опасным способом. Однако похоже, что в саму программу изменения не внесли, говорит Маддукс. По его мнению, настройка Google Pay проходит с меньшим количеством рискованных вариаций.

Фото: Unsplash

Маддукс отмечает, что уязвимости на стороне сервера, связанные с подделкой запросов, возникают и в других интеграциях, а не только с модулем Apple Pay. Сейчас эту кнопку можно подключить более безопасным способом, если знать, как справиться с возможными проблемами, добавляет он.

«Безусловно, безопасно подключить Apple Pay можно. Просто это не слишком очевидно для разработчика, не заботящегося о безопасности и не понимающего механизм подделки запросов на стороне сервера. Сейчас эта проблема не очень глубоко внедрена в сознание программистов», — считает Маддукс.

Учитывая популярность Apple Pay в цифровом мире, на это уже давно пора обратить внимание.

Источник.

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Что известно о кредитной карте Apple Card
  2. 2 Четыре технологии, которые закрывают банковские отделения
  3. 3 Цифровой банкинг – чего мы ожидали и что получили
  4. 4 Как запуск системы удаленной идентификации приведет к трансформации банков

Актуальные материалы —
в Telegram-канале @Rusbase