Apple Pay считается безопасным средством для онлайн-платежей, и с 2016 года магазины и сервисы встраивают его на свои сайты. Однако один из участников недавней конференции по кибербезопасности Black Hat представил исследование, которое показало, что из-за Apple Pay веб-страницы могут подвергаться хакерским атакам.
Сразу стоит отметить, что это не недостаток самой Apple Pay — полученные данные говорят, что проблемы могут возникнуть из-за веб-соединений и сторонних интеграций. Джошуа Маддукс, исследователь в сфере информационной безопасности в аналитической компании PKC Security, впервые обратил на это внимание прошлой осенью, когда устанавливал Apple Pay для клиента.
Встраивая Apple Pay на сайт, вы автоматически подключаетесь к существующей инфраструктуре сервиса. Но Маддукс заметил, что соединение при этом может устанавливаться разными способами — это зависит от сайта, на который внедряется Apple Pay. Злоумышленник способен заменить его URL-адрес для связи с сервисом и извлечь данные для авторизации, что, в свою очередь, даст ему доступ к инфраструктуре сайта.
Эта проблема похожа на распространенный тип уязвимости, который называется «подделка запросов на стороне сервера». Он позволяет хакерам обходить такие средства защиты, как брандмауэры, и напрямую отправлять команды приложениям. Эти уязвимости представляют собой реальную угрозу и регулярно используются кибепреступниками. Так, в прошлом месяце они сыграли свою роль во взломе Capital One.
Впервые Маддукс сообщил Apple об этой проблеме в феврале. По его словам, с тех пор компания пересмотрела документацию по Apple Pay, чтобы уменьшить вероятность ее внедрения на сайты потенциально опасным способом. Однако похоже, что в саму программу изменения не внесли, говорит Маддукс. По его мнению, настройка Google Pay проходит с меньшим количеством рискованных вариаций.
Фото: Unsplash
Маддукс отмечает, что уязвимости на стороне сервера, связанные с подделкой запросов, возникают и в других интеграциях, а не только с модулем Apple Pay. Сейчас эту кнопку можно подключить более безопасным способом, если знать, как справиться с возможными проблемами, добавляет он.
«Безусловно, безопасно подключить Apple Pay можно. Просто это не слишком очевидно для разработчика, не заботящегося о безопасности и не понимающего механизм подделки запросов на стороне сервера. Сейчас эта проблема не очень глубоко внедрена в сознание программистов», — считает Маддукс.
Учитывая популярность Apple Pay в цифровом мире, на это уже давно пора обратить внимание.
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
ВОЗМОЖНОСТИ
28 января 2025
03 февраля 2025
28 февраля 2025