Cách Nút Thanh Toán Apple Pay Có Thể Làm Website Kém An Toàn Hơn

Apple Pay có một loạt các tính năng bảo vệ giúp nó trở thành một phương thức giao dịch thẻ tín dụng trực tuyến an toàn. Và từ năm 2016, các nhà bán lẻ và dịch vụ bên thứ ba đã có thể nhúng Apple Pay vào trang web của họ và cung cấp nó như một phương thức thanh toán. Nhưng tại hội nghị an ninh Black Hat ở Las Vegas vào thứ Năm, một nhà nghiên cứu đang trình bày các phát hiện rằng việc tích hợp này vô tình giới thiệu các lỗ hổng có thể làm lộ trang web chủ nhà ra các cuộc tấn công.

Để rõ ràng, điều này không phải là một lỗ hổng trong Apple Pay chính nó hoặc mạng thanh toán của nó. Nhưng các phát hiện này minh họa những vấn đề không ý định có thể nảy sinh từ các kết nối web và tích hợp của bên thứ ba. Joshua Maddux, một nhà nghiên cứu về an ninh tại công ty phân tích PKC Security, lần đầu tiên nhận thấy vấn đề này vào mùa thu năm ngoái khi anh đang triển khai hỗ trợ Apple Pay cho một khách hàng.

Bạn thiết lập chức năng Apple Pay trong dịch vụ web của bạn bằng cách tích hợp với giao diện lập trình ứng dụng Apple Pay—cho phép Apple cung cấp nguồn điện cho mô-đun với cơ sở hạ tầng Apple Pay hiện có của mình. Nhưng Maddux nhận thấy rằng kết nối giữa trang web và cơ sở hạ tầng Apple Pay, cũng như cơ chế xác thực dùng để môi giới kết nối này, có thể được thiết lập theo nhiều cách khác nhau, hoàn toàn theo ý muốn của trang web chủ nhà. Một kẻ tấn công có thể thay đổi URL mà trang web mục tiêu sử dụng để nói chuyện với Apple Pay, ví dụ, với một URL độc hại có thể gửi các truy vấn hoặc lệnh tới cơ sở hạ tầng của trang web mục tiêu. Từ đó, kẻ tấn công có thể sử dụng vị trí này để có thể trích xuất một mã token xác thực hoặc dữ liệu đặc quyền khác, từ đó cho họ quyền truy cập vào cơ sở hạ tầng backend của trang web.

Những lỗ hổng này thuộc một loại lỗ hổng phổ biến được gọi là "lừa yêu cầu phía máy chủ," cho phép kẻ tấn công bypass các bảo vệ như tường lửa để trực tiếp gửi lệnh tới các ứng dụng web. Những lỗ hổng này đe dọa nghiêm trọng và thường xuyên bị tận dụng trong thực tế. Gần đây nhất, chúng đã đóng vai trò trong việc vi phạm lớn của Capital One tháng trước. Tương tự, tính linh hoạt trong cách một trang web tích hợp Apple Pay có thể tiềm ẩn cơ sở hạ tầng backend của mình cho việc truy cập trái phép.

"Không phải Apple Pay chính nó, mà chỉ là sự phơi bày đối với các trang web đã thêm hỗ trợ cho Apple Pay," Maddux nói. "Nhưng mặt khác, người dùng sử dụng Apple Pay tin tưởng các trang web của thương nhân với dữ liệu của họ, vì vậy từ khía cạnh đó, kết nối là quan trọng."

Maddux đã thông báo về vấn đề này với Apple vào tháng Hai và trao đổi với công ty về các biện pháp giảm nhẹ mà anh đề xuất vào tháng Ba—bao gồm việc khóa các tùy chọn về cách mà các trang web có thể cấu hình tích hợp để không có quá nhiều rủi ro tiềm ẩn. Maddux nói rằng trong các đánh giá của anh, có vẻ như Google Pay, ví dụ, có hướng dẫn cụ thể hơn và ít tùy chọn hơn. Maddux sau đó nhận thấy rằng Apple đã sửa đổi tài liệu của mình để thêm nút Apple Pay để làm giảm khả năng các trang web tích hợp nó theo cách có thể bị tổn thương. Nhưng có vẻ không có bất kỳ thay đổi cấu trúc nào. Apple không phản hồi yêu cầu bình luận từ MYTOUR.

Maddux lưu ý rằng các lỗ hổng lừa yêu cầu phía máy chủ xuất hiện trong các tích hợp khác trên web cũng không chỉ đối với mô-đun Apple Pay. Và hiện nay, có thể triển khai nút Apple Pay một cách an toàn hơn nếu bạn biết cách giảm nhẹ những điểm yếu tiềm ẩn. Nhưng Maddux cho biết cần phải tăng cường nhận thức về vấn đề này, vì các tích hợp phổ biến như Apple Pay xuất hiện trên vô số trang web và tạo ra những phơi bày ngay cả khi người dùng của một trang web không tương tác trực tiếp với mô-đun.

"Chắc chắn có thể triển khai hỗ trợ cho Apple Pay một cách an toàn," Maddux nói. "Chỉ là điều đó không rõ ràng đối với một nhà phát triển không cảnh giác với vấn đề an ninh và không hiểu về lỗ hổng lừa yêu cầu phía máy chủ. Hiện nay, điều này chưa thực sự được nhúng sâu vào ý thức của các nhà phát triển."

Với số lượng nút Apple Pay xuất hiện trên thế giới số, đã đến lúc chú ý.

Những câu chuyện tuyệt vời khác từ MYTOUR

• Sự biến đổi căn bản của sách giáo khoa
• Làm thế nào các nhà khoa học xây dựng một “thuốc sống” để đánh bại ung thư
• Một ứng dụng iPhone bảo vệ sự riêng tư của bạn - thực sự
• Khi phần mềm mã nguồn mở đi kèm với một số rủi ro
• Làm thế nào những người ủng hộ chủ nghĩa trắng đã chiếm đoạt truyện fan fiction
• 📱 Lưỡng lự giữa những chiếc điện thoại mới nhất? Đừng lo - hãy xem hướng dẫn mua iPhone của chúng tôi và những chiếc điện thoại Android yêu thích
• 📩 Thèm khát thêm nhiều thông tin sâu sắc hơn về chủ đề yêu thích tiếp theo của bạn? Đăng ký nhận bản tin Backchannel ngay