Jedním z menších přírůstků v nadcházející aktualizaci Apple iOS 12 je chytrá maličkost, která se nazývá Automatické vyplňování bezpečnostního kódu.
V zásadě se jedná o systém, který výrazně usnadňuje zadávání dvoufaktorových ověřovacích kódů při přihlašování.
Ale i když je to dobré, jeden bezpečnostní výzkumník vidí automatické vyplňování bezpečnostního kódu jako potenciální zranitelnost, kterou by mohli zneužít zákeřní útočníci.
Zde je důvod, proč to potřebujete vědět.
Obsah
- Automatické vyplňování bezpečnostního kódu iOS 12
-
Jaké je riziko
- Co je TAN?
- Riziko s automatickým vyplňováním bezpečnostního kódu
- Může s tím Apple něco udělat?
-
Jak se chránit
- Související příspěvky:
Automatické vyplňování bezpečnostního kódu iOS 12
Přihlášení k účtu pomocí dvoufaktorové autentizace obvykle zahrnuje dva samostatné kroky – odtud název.
Zadáte své uživatelské jméno a heslo a poté obdržíte SMS zprávu s jednorázovým kódem. Jakmile tento kód zadáte, můžete se přihlásit.
iOS 12 to ale řeší trochu jinak. Dokáže automaticky detekovat, když obdržíte dvoufaktorový ověřovací kód (známý také jako jednorázový přístupový kód nebo OTP).
PŘÍBUZNÝ:
- Funkce zabezpečení iOS 12
- Co je silné heslo? Proč můj iPhone vybírá hesla za mě?
- Top 25 funkcí iOS 12, které stojí za váš čas
Systém poté toto jméno zaznamená a dá vám možnost jej zadat jediným kliknutím. V iOS 12 se objeví jako možnost nad klávesnicí s poznámkou, že je to „Ze zpráv“.
To samozřejmě může ušetřit docela dost času, protože vám to zabrání přeskakovat mezi aplikacemi nebo si bleskově zapamatovat OTP.
Ale snadnost použití je také důvodem, proč by za určitých okolností mohl představovat bezpečnostní riziko.
Jaké je riziko
Riziko spočívá především na finančních institucích. Ačkoli pravděpodobně existují další případy, kdy by automatické vyplňování bezpečnostního kódu mohlo být riskantní, toto je nejznepokojivější scénář.
Andreas Gutmann, bezpečnostní výzkumník z OneSpan’s Cambridge Innovation Center, říká, že nejpalčivější problém se soustředí na něco, co se nazývá transakční autentizační číslo (TAN).
Co je TAN?
Stejně jako dvoufaktorové ověření je TAN jednorázový kód, který se odešle do vašeho telefonu. Ale TAN není pro přihlášení – místo toho je to způsob, jak přidat 2FA ochranu k finančním transakcím.
V zásadě platí, že když převádíte peníze nebo provádíte platbu, banka odešle na váš telefon TAN jako další ověřovací krok, aby se zajistilo, že nedochází k žádnému podvodu.
Toto číslo TAN zadáte do příslušného pole a transakce bude na vaší straně schválena. Pokud obdržíte TAN, ale neprovedli jste žádné nedávné transakce, měli byste okamžitě kontaktovat svou banku.
Přestože v USA zatím nejsou příliš rozšířené, transakce chráněné TAN jsou poměrně běžné v celé Evropě a dalších regionech.
Riziko s automatickým vyplňováním bezpečnostního kódu
Vzhledem k tomu, že automatické vyplňování bezpečnostního kódu ze zpráv automaticky získává jednorázový přístupový kód, vynechává veškerý relevantní kontext.
Pro bankovnictví je tento kontext – jako finanční částka nebo místo určení platby – zásadní pro zjištění, zda je transakce legitimní.
"Skutečnost, že uživatel ověřuje tyto důležité informace, je přesně to, co poskytuje bezpečnostní výhodu," napsal Gutmann v blogovém příspěvku. "Odstraněním z procesu se stane neúčinným."
Jinými slovy, nová funkce společnosti Apple, která šetří čas, by mohla uživatele potenciálně učinit zranitelnějšími vůči finančním podvodům nebo útokům typu man-in-the-middle.
Uživatel by teoreticky mohl automaticky zadat OTP pro schválení podvodné finanční transakce. Útočník by mohl potenciálně podvrhnout automatické vyplňování bezpečnostního kódu pomocí škodlivého webu nebo aplikace.
Může s tím Apple něco udělat?
Hlavní věc, kterou by Apple mohl udělat, je implementovat určitý typ opatření do automatického vyplňování bezpečnostního kódu, které dokáže rozpoznat rozdíl mezi požadavkem 2FA a TAN.
V současné době není jasné, zda automatické vyplňování bezpečnostního kódu dokáže rozlišit mezi 2FA a TAN. Pokud je to možné, pak se tento problém stává mnohem menším problémem.
Samozřejmě, pokud dostatek lidí vyjádří obavy ohledně zranitelnosti automatického vyplňování bezpečnostního kódu, Apple by ji mohl aktualizovat, aby se problém zmírnil.
Jak se chránit
V první řadě byste měli ne zakázat dvoufaktorové ověřování na kterémkoli z vašich účtů.
Zatímco dvoufaktorová autentizace založená na SMS je relativně chybný systém, který je náchylný k zachycení nebo útokům, je mnohem lepší než se spoléhat pouze na heslo.
Pokud jste v Evropě, nejlepší věc, kterou můžete udělat, je zkontrolovat každé jednotlivé OTP nebo 2FA, které obdržíte. Přepnutí na Zprávy a ověření kontextových informací trvá jen několik sekund.
To platí zejména v případě, že nemůžete snadno rozlišit mezi TAN a 2FA přístupovým kódem bez kontroly původní textové zprávy SMS.
Pokud se nenacházíte v zemi, která používá TAN, je pravděpodobně stále chytré ověřit podezřelá jednorázová hesla zasílaná do vašeho zařízení. Pokud se aktivně nepřihlašujete a obdržíte textovou zprávu OTP, pravděpodobně není něco v pořádku.
Kromě toho dávejte pozor na systémy TAN, které budou v amerických bankách implementovány v širším měřítku. Evropa má v poslední době vedoucí úlohu, pokud jde o standardy ochrany soukromí a bezpečnosti. Je pravděpodobné, že TAN by mohly být v blízké budoucnosti přijaty americkými bankami a finančními institucemi.
Při práci s finančními údaji nebo přihlašovacími údaji byste také měli obecně používat osvědčené bezpečnostní postupy. Ani to nejlepší heslo a zabezpečení 2FA vás nemohou ochránit před sociálním inženýrstvím.
Mike je novinář na volné noze ze San Diega v Kalifornii.
I když primárně pokrývá Apple a spotřebitelské technologie, má minulé zkušenosti s psaním o veřejné bezpečnosti, místní správě a vzdělávání pro různé publikace.
V oblasti žurnalistiky nosil docela dost klobouků, včetně spisovatele, redaktora a zpravodaje.