Защо автоматичното попълване на код за сигурност на iOS 12 е рисковано + как да се защитите

Едно от по-малките допълнения в предстоящата актуализация на iOS 12 на Apple е умно малко, което прави наречен Security Code AutoFill.

По принцип това е система, която прави въвеждането на двуфакторни кодове за удостоверяване при влизане много по-лесно.

Но колкото и да е добро, един изследовател по сигурността вижда автоматичното попълване на кода за сигурност като потенциална уязвимост, от която може да се възползват злонамерени нападатели.

Ето защо трябва да знаете.

Автоматично попълване на код за сигурност iOS 12

Влизането в акаунт с двуфакторно удостоверяване обикновено включва две отделни стъпки - оттук и името.

Ще въведете вашето потребителско име и парола и след това ще получите SMS текстово съобщение с код за еднократна употреба. След като въведете този код, сте свободни да влезете.

Но iOS 12 се справя с това малко по-различно. Той може автоматично да открие, когато получите двуфакторен код за удостоверяване (известен също като еднократна парола или OTP).

СВЪРЗАНИ:

• Функции за сигурност на iOS 12
• Какво е силна парола? Защо моят iPhone избира пароли за мен?
• Топ 25 функции на iOS 12, които си заслужават времето

След това системата ще регистрира това име и ще ви даде възможност да го въведете с едно щракване. В iOS 12 той ще се появи като опция над клавиатурата с бележка, че е „От съобщения“.

Разбира се, това може да спести доста време, тъй като ви предпазва от прескачане между приложения или запомняне на OTP за миг.

Но лекотата на използване също е причината, поради която може да представлява риск за сигурността при определени обстоятелства.

Какъв е рискът

Предимно рискът е във финансовите институции. Въпреки че вероятно има други случаи, когато автоматичното попълване на кода за сигурност може да бъде рисковано, това е най-тревожният сценарий.

Андреас Гутман, изследовател по сигурността в иновационния център на OneSpan в Кеймбридж, казва, че най-належащият проблем се фокусира върху нещо, наречено номер за удостоверяване на транзакция (TAN).

Какво е TAN?

Подобно на двуфакторното удостоверяване, TAN е еднократен код, който се изпраща на вашия телефон. Но TAN не е за влизане - вместо това е начин за добавяне на 2FA защита към финансовите транзакции.

По принцип, когато превеждате пари или извършвате плащане, банката ще изпрати TAN на телефона ви като допълнителна стъпка за проверка, за да се гарантира, че няма да се случват глупости.

Вие въвеждате този TAN в подходящо поле и транзакцията е одобрена от ваша страна. Ако получите TAN, но не сте направили скорошни транзакции, трябва незабавно да се свържете с банката си.

Въпреки че все още не са широко разпространени в САЩ, транзакциите, защитени с TAN, са доста често срещани в Европа и други региони.

Рискът с автоматично попълване на код за сигурност

Тъй като автоматичното попълване на кода за сигурност изтегля еднократна парола от съобщенията, то пропуска целия съответен контекст.

За банкирането този контекст - като финансова сума или дестинация за плащане - е от решаващо значение, за да се знае дали дадена транзакция е легитимна.

„Фактът, че потребителят проверява тази важна информация, е точно това, което осигурява предимството за сигурността“, пише Гутман в публикация в блог. "Премахването на това от процеса го прави неефективен."

С други думи, новата функция на Apple, която спестява време, може потенциално да направи потребителите по-уязвими към финансови измами или атаки „човек в средата“.

Теоретично потребителят може автоматично да въведе OTP, за да одобри измамна финансова транзакция. Нападателят може потенциално да излъже автоматично попълване на код за сигурност, използвайки злонамерен уебсайт или приложение.

Може ли Apple да направи нещо по въпроса?

Основното нещо, което Apple може да направи, е да приложи някакъв вид мярка в автоматичното попълване на кода за сигурност, която може да различи разликата между заявка за 2FA и TAN.

Понастоящем не е ясно дали AutoFill на кода за сигурност може да направи разлика между 2FA и TAN. Ако може, тогава този проблем става много по-малко проблем.

Разбира се, ако достатъчно хора изразят загриженост, че AutoFill на кода за сигурност е уязвимост, Apple може да го актуализира, за да смекчи проблема.

Как да се защитите

На първо място, трябва не деактивирайте двуфакторното удостоверяване на всеки от вашите акаунти.

Докато двуфакторната автентификация, базирана на SMS, е сравнително погрешна система, която е склонна към прихващане или атаки, това е много по-добре, отколкото просто да разчитате на парола.

Ако сте в Европа, най-доброто, което можете да направите, е да проверите отново всеки един OTP или 2FA, който получавате. Отнема само няколко секунди, за да преминете към Съобщения и да проверите контекстуалната информация.

Това е особено вярно, ако не можете лесно да различите между TAN и 2FA парола, без да проверите оригиналното SMS съобщение.

Ако не сте в страна, която използва TAN, вероятно все още е разумно да проверите подозрителни OTP, които се изпращат до вашето устройство. Ако не влизате активно и получавате текстово съобщение OTP, вероятно нещо не е наред.

Освен това, бъдете нащрек за TAN системите, които да бъдат внедрени по-широко в банките в САЩ. В последно време Европа е водеща, когато става въпрос за стандарти за поверителност и сигурност. Вероятно TAN може да бъде приет от американските банки и финансови институции в близко бъдеще.

Трябва също да използвате най-добрите практики за сигурност като цяло, когато работите с финансови данни или информация за вход. Дори най-добрата парола и 2FA сигурност не могат да ви предпазят от социално инженерство.