Apple の決済サービスは非常に人気があります。米国大手企業のサービスを顧客に提供する銀行が増えている。 2016 年以降、サードパーティプロバイダーは Apple Pay を Web サイトに埋め込み、支払いオプションとして提供できるようになりました。 Apple Payの使用は安全であると考えられています。ただし、落とし穴があります。統合により、ホスト Web サイトを攻撃する可能性のある致命的なセキュリティ ホールが発生する可能性があります。
Apple Payはユーザーにとって安全ですか?
ラスベガスで開催された Black Hat セキュリティ カンファレンスで、ある研究者は、Apple Pay を組み込むとウェブサイトがいかに脆弱になるかを強調しました。
これは Apple Pay とその決済ネットワークのせいではありませんが、この結果は、Web サービス接続とサードパーティの統合から発生する可能性がある問題を示しています。ソフトウェアおよびサイバーセキュリティ代理店 PKC の従業員である Joshua Maddux 氏は、顧客向けに Apple Pay を導入しているときにエラーに気づきました。
サイバー犯罪者向けの簡単なゲーム
Apple Pay が Web サイトに統合されると、Apple には独自のインフラストラクチャを使用してモジュールを操作する権限が与えられます。 Maddux 氏は、Web サイトと Apple Pay の間の接続、および関連する検証メカニズムは、オペレーターの裁量でさまざまな方法で設定できると述べました。
これにより、攻撃は非常に簡単になります。サイバー犯罪者は、Web サイトが Apple Pay への接続に使用する URL を悪意のある URL に置き換えることができます。これにより、リクエストとコマンドが Web サイトのインフラストラクチャに送信されます。結果: 攻撃者はこの状況を悪用して、保護された顧客データにアクセスできるようになります。
ユーザーデータが危険にさらされている
この脆弱性は、「サーバー側リクエスト フォージェリ」と呼ばれるよく知られた種類の脆弱性の一部であり、攻撃者がファイアウォールなどの保護メカニズムをバイパスして、Web アプリケーションにコマンドを直接送信することができます。
マダックス氏は「これはApple Pay自体に影響するのではなく、むしろApple Payをサポートするウェブサイトに影響する」と述べた。 「ただし、Apple Pay を使用するユーザーは、貴重なデータが保管されている販売サイトを信頼しているため、安全な接続が非常に重要です。」
Appleが結果に応じるかどうか、そしていつ応じるかはまだ分からない。決済サービスが自分に適しているかどうかまだわかりませんか?次に、 Apple Pay のメリットとデメリットを確認してください。 Apple Pay に発生する可能性のある手数料についても知っておく必要があります。