Warum das automatische Ausfüllen des Sicherheitscodes von iOS 12 riskant ist + So schützen Sie sich

Eine der kleineren Ergänzungen in Apples kommendem iOS 12-Update ist ein cleveres kleines, das Security Code AutoFill nennt.

Im Grunde ist es ein System, das die Eingabe von Zwei-Faktor-Authentifizierungscodes beim Anmelden erheblich erleichtert.

Aber so gut es auch ist, ein Sicherheitsforscher sieht in Security Code AutoFill eine potenzielle Schwachstelle, die von böswilligen Angreifern ausgenutzt werden könnte.

Hier ist, warum Sie es wissen müssen.

Sicherheitscode AutoFill iOS 12

Die Anmeldung bei einem Konto mit Zwei-Faktor-Authentifizierung umfasst normalerweise zwei separate Schritte – daher der Name.

Sie geben Ihren Benutzernamen und Ihr Passwort ein und erhalten dann eine SMS-Textnachricht mit einem Einmalcode. Sobald Sie diesen Code eingegeben haben, können Sie sich einloggen.

Aber iOS 12 handhabt dies etwas anders. Es kann automatisch erkennen, wenn Sie einen Zwei-Faktor-Authentifizierungscode (auch als Einmal-Passcode oder OTP bekannt) erhalten.

VERBUNDEN:

• iOS 12-Sicherheitsfunktionen
• Was ist ein starkes Passwort? Warum wählt mein iPhone Passwörter für mich aus?
• Top 25 iOS 12-Funktionen, die Ihre Zeit wert sind

Das System protokolliert dann diesen Namen und bietet Ihnen die Möglichkeit, ihn mit einem einzigen Klick einzugeben. In iOS 12 wird es als Option über der Tastatur mit dem Hinweis "Aus Nachrichten" angezeigt.

Dies kann natürlich einiges an Zeit sparen, da Sie nicht zwischen Apps wechseln oder sich das OTP im Handumdrehen merken müssen.

Die Benutzerfreundlichkeit ist aber auch der Grund, warum es unter Umständen ein Sicherheitsrisiko darstellen kann.

Was ist das Risiko?

Das Risiko liegt in erster Linie bei den Finanzinstituten. Obwohl es wahrscheinlich andere Fälle gibt, in denen das automatische Ausfüllen von Sicherheitscodes riskant sein könnte, ist dies das besorgniserregendste Szenario.

Andreas Gutmann, Sicherheitsforscher am Cambridge Innovation Center von OneSpan, sagt, dass das dringendste Problem konzentriert sich auf eine sogenannte Transaktions-Authentifizierungsnummer (TAN).

Was ist eine TAN?

Wie bei der Zwei-Faktor-Authentifizierung ist eine TAN ein einmaliger Code, der an Ihr Telefon gesendet wird. Aber eine TAN ist nicht zum Anmelden da, sondern eine Möglichkeit, Finanztransaktionen mit 2FA-Schutz zu versehen.

Grundsätzlich sendet eine Bank bei einer Überweisung oder Zahlung eine TAN als zusätzlichen Verifizierungsschritt an Ihr Telefon, um sicherzustellen, dass keine Dummheiten im Gange sind.

Diese TAN geben Sie in ein entsprechendes Feld ein und die Transaktion wird Ihrerseits freigegeben. Wenn Sie eine TAN erhalten, aber in letzter Zeit keine Transaktionen getätigt haben, sollten Sie sich umgehend an Ihre Bank wenden.

Obwohl sie in den USA noch nicht weit verbreitet sind, sind TAN-geschützte Transaktionen in Europa und anderen Regionen ziemlich verbreitet.

Das Risiko mit Sicherheitscode AutoFill

Da Security Code AutoFill automatisch einen einmaligen Passcode aus Nachrichten zieht, lässt es den gesamten relevanten Kontext aus.

Für das Bankgeschäft ist dieser Kontext – wie der Finanzbetrag oder das Zahlungsziel – entscheidend, um zu wissen, ob eine Transaktion legitim ist.

„Gerade die Tatsache, dass ein Nutzer diese wichtigen Informationen verifiziert, bringt den Sicherheitsvorteil“, schreibt Gutmann in einem Blogbeitrag. „Wenn man das aus dem Prozess entfernt, wird es wirkungslos.“

Mit anderen Worten, die zeitsparende neue Funktion von Apple könnte Benutzer möglicherweise anfälliger für Finanzbetrug oder Man-in-the-Middle-Angriffe machen.

Ein Benutzer könnte theoretisch automatisch ein OTP eingeben, um eine betrügerische Finanztransaktion zu genehmigen. Ein Angreifer könnte möglicherweise ein Sicherheitscode-AutoFill fälschen, indem er eine bösartige Website oder App verwendet.

Kann Apple etwas dagegen tun?

Das Wichtigste, was Apple tun könnte, ist, eine Art von Maßnahme in Security Code AutoFill zu implementieren, die den Unterschied zwischen einer 2FA-Anfrage und einer TAN erkennen kann.

Es ist derzeit nicht klar, ob Security Code AutoFill zwischen 2FA und TAN unterscheiden kann. Wenn dies möglich ist, wird dieses Problem viel weniger problematisch.

Wenn genügend Leute Bedenken äußern, dass Security Code AutoFill eine Schwachstelle ist, könnte Apple es natürlich aktualisieren, um das Problem zu mildern.

So schützen Sie sich

Zuallererst solltest du nicht Deaktivieren Sie die Zwei-Faktor-Authentifizierung für eines Ihrer Konten.

Obwohl die SMS-basierte Zwei-Faktor-Authentifizierung ein relativ fehlerhaftes System ist, das anfällig für Abfangen oder Angriffe ist, ist es viel besser, als sich nur auf ein Passwort zu verlassen.

Wenn Sie sich in Europa befinden, überprüfen Sie am besten jedes einzelne OTP oder 2FA, das Sie erhalten. Es dauert nur ein paar Sekunden, um zu Nachrichten zu wechseln und die Kontextinformationen zu überprüfen.

Dies gilt insbesondere dann, wenn Sie ohne Prüfung der Original-SMS nicht zwischen TAN und 2FA-Passcode unterscheiden können.

Wenn Sie sich nicht in einem Land befinden, das TAN verwendet, ist es wahrscheinlich immer noch klug, verdächtige OTPs zu überprüfen, die an Ihr Gerät gesendet werden. Wenn Sie sich nicht aktiv anmelden und eine OTP-SMS erhalten, ist wahrscheinlich etwas nicht in Ordnung.

Halten Sie außerdem Ausschau nach einer breiteren Implementierung von TAN-Systemen in US-Banken. Europa ist in letzter Zeit führend, wenn es um Datenschutz- und Sicherheitsstandards geht. Es ist wahrscheinlich, dass TAN in naher Zukunft von US-Banken und Finanzinstituten übernommen werden könnte.

Sie sollten im Umgang mit Finanzdaten oder Anmeldeinformationen auch allgemein bewährte Sicherheitspraktiken anwenden. Selbst das beste Passwort und 2FA-Sicherheit können Sie nicht vor Social Engineering schützen.