Γιατί η Αυτόματη Συμπλήρωση Κωδικού Ασφαλείας του iOS 12 είναι επικίνδυνη + Πώς να προστατεύσετε τον εαυτό σας

Μία από τις μικρότερες προσθήκες στην επερχόμενη ενημέρωση iOS 12 της Apple είναι ένα έξυπνο μικρό που ονομάζεται Αυτόματη Συμπλήρωση Κωδικού Ασφαλείας.

Βασικά, είναι ένα σύστημα που κάνει πολύ πιο εύκολη την εισαγωγή κωδικών ελέγχου ταυτότητας δύο παραγόντων κατά τη σύνδεση.

Αλλά για όσο καλό είναι, ένας ερευνητής ασφαλείας βλέπει την Αυτόματη Συμπλήρωση Κωδικού Ασφαλείας ως μια πιθανή ευπάθεια που θα μπορούσαν να εκμεταλλευτούν κακόβουλοι εισβολείς.

Να γιατί πρέπει να ξέρετε.

Κωδικός ασφαλείας Αυτόματη Συμπλήρωση iOS 12

Η σύνδεση σε έναν λογαριασμό με έλεγχο ταυτότητας δύο παραγόντων συνήθως περιλαμβάνει δύο ξεχωριστά βήματα — εξ ου και το όνομα.

Θα εισαγάγετε το όνομα χρήστη και τον κωδικό πρόσβασής σας και, στη συνέχεια, θα λάβετε ένα μήνυμα κειμένου SMS με έναν κωδικό μίας χρήσης. Μόλις πληκτρολογήσετε αυτόν τον κωδικό, είστε ελεύθεροι να συνδεθείτε.

Αλλά το iOS 12 το χειρίζεται αυτό λίγο διαφορετικά. Μπορεί να εντοπίσει αυτόματα πότε λαμβάνετε έναν κωδικό ελέγχου ταυτότητας δύο παραγόντων (γνωστός και ως κωδικός πρόσβασης μίας χρήσης ή OTP).

ΣΧΕΤΙΖΕΤΑΙ ΜΕ:

• Λειτουργίες ασφαλείας iOS 12
• Τι είναι ο ισχυρός κωδικός πρόσβασης; Γιατί το iPhone μου επιλέγει κωδικούς πρόσβασης για μένα;
• Κορυφαίες 25 λειτουργίες iOS 12 που αξίζουν τον χρόνο σας

Στη συνέχεια, το σύστημα θα καταγράψει αυτό το όνομα και θα σας δώσει την επιλογή να το εισαγάγετε με ένα μόνο κλικ. Στο iOS 12, θα εμφανίζεται ως επιλογή πάνω από το πληκτρολόγιο με μια σημείωση που θα αναφέρει ότι είναι "Από Μηνύματα".

Φυσικά, αυτό μπορεί να εξοικονομήσει αρκετό χρόνο, καθώς σας εμποδίζει να μεταπηδήσετε μεταξύ εφαρμογών ή να απομνημονεύσετε το OTP αμέσως.

Αλλά η ευκολία χρήσης είναι επίσης ο λόγος που θα μπορούσε να είναι ένας κίνδυνος για την ασφάλεια σε ορισμένες περιπτώσεις.

Ποιος είναι ο κίνδυνος

Κατά κύριο λόγο, ο κίνδυνος εναπόκειται στα χρηματοπιστωτικά ιδρύματα. Αν και υπάρχουν πιθανές άλλες περιπτώσεις όπου η Αυτόματη Συμπλήρωση Κωδικού Ασφαλείας θα μπορούσε να είναι επικίνδυνη, αυτό είναι το πιο ανησυχητικό σενάριο.

Ο Andreas Gutmann, ερευνητής ασφάλειας στο Κέντρο Καινοτομίας του OneSpan στο Cambridge, λέει ότι το πιο πιεστικό πρόβλημα επικεντρώνεται σε κάτι που ονομάζεται αριθμός ελέγχου ταυτότητας συναλλαγής (TAN).

Τι είναι το TAN;

Όπως ο έλεγχος ταυτότητας δύο παραγόντων, το TAN είναι ένας κωδικός μίας χρήσης που αποστέλλεται στο τηλέφωνό σας. Αλλά ένα TAN δεν προορίζεται για σύνδεση — αντίθετα, είναι ένας τρόπος προσθήκης προστασίας 2FA στις οικονομικές συναλλαγές.

Βασικά, όταν μεταφέρετε χρήματα ή πραγματοποιείτε μια πληρωμή, μια τράπεζα θα στείλει ένα TAN στο τηλέφωνό σας ως πρόσθετο βήμα επαλήθευσης για να διασφαλίσει ότι δεν θα πραγματοποιηθούν παραπλανήσεις.

Εισαγάγετε αυτό το TAN σε ένα κατάλληλο πεδίο και η συναλλαγή εγκρίνεται στο τέλος σας. Εάν λάβετε TAN αλλά δεν κάνατε πρόσφατες συναλλαγές, θα πρέπει να επικοινωνήσετε αμέσως με την τράπεζά σας.

Αν και δεν είναι ακόμη ευρέως διαδεδομένες στις ΗΠΑ, οι συναλλαγές με προστασία TAN είναι αρκετά κοινές σε όλη την Ευρώπη και σε άλλες περιοχές.

Ο κίνδυνος με την Αυτόματη Συμπλήρωση Κωδικού Ασφαλείας

Εφόσον η Αυτόματη Συμπλήρωση Κωδικού Ασφαλείας τραβάει αυτόματα έναν κωδικό πρόσβασης μίας χρήσης από τα μηνύματα, αφήνει έξω όλο το σχετικό πλαίσιο.

Για τον τραπεζικό τομέα, αυτό το πλαίσιο —όπως το οικονομικό ποσό ή ο προορισμός πληρωμής— είναι κρίσιμο για να γνωρίζουμε εάν μια συναλλαγή είναι νόμιμη.

«Το γεγονός ότι ένας χρήστης επαληθεύει αυτές τις σημαντικές πληροφορίες είναι ακριβώς αυτό που παρέχει το όφελος για την ασφάλεια», έγραψε ο Gutmann σε μια ανάρτηση ιστολογίου. "Η αφαίρεση αυτού από τη διαδικασία την καθιστά αναποτελεσματική."

Με άλλα λόγια, η νέα δυνατότητα της Apple που εξοικονομεί χρόνο θα μπορούσε δυνητικά να κάνει τους χρήστες πιο ευάλωτους σε οικονομική απάτη ή σε επιθέσεις από τον άνθρωπο στη μέση.

Ένας χρήστης, θεωρητικά, θα μπορούσε να εισάγει αυτόματα ένα OTP για να εγκρίνει μια δόλια οικονομική συναλλαγή. Ένας εισβολέας θα μπορούσε ενδεχομένως να πλαστογραφήσει μια Αυτόματη Συμπλήρωση Κωδικού Ασφαλείας χρησιμοποιώντας έναν κακόβουλο ιστότοπο ή εφαρμογή.

Μπορεί η Apple να κάνει κάτι γι' αυτό;

Το κύριο πράγμα που θα μπορούσε να κάνει η Apple είναι να εφαρμόσει κάποιο είδος μέτρου στην Αυτόματη Συμπλήρωση Κωδικού Ασφαλείας που μπορεί να διακρίνει τη διαφορά μεταξύ ενός αιτήματος 2FA και ενός TAN.

Προς το παρόν δεν είναι σαφές εάν η Αυτόματη Συμπλήρωση Κωδικού Ασφαλείας μπορεί να διακρίνει μεταξύ 2FA και TAN. Εάν μπορεί, τότε αυτό το ζήτημα γίνεται πολύ λιγότερο πρόβλημα.

Φυσικά, εάν αρκετοί άνθρωποι εκφράσουν την ανησυχία τους ότι η Αυτόματη Συμπλήρωση Κωδικού Ασφαλείας είναι ευπάθεια, η Apple θα μπορούσε να την ενημερώσει για να μετριάσει το πρόβλημα.

Πώς να προστατεύσετε τον εαυτό σας

Πρώτα απ 'όλα, θα πρέπει δεν απενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων σε οποιονδήποτε από τους λογαριασμούς σας.

Ενώ ο έλεγχος ταυτότητας δύο παραγόντων που βασίζεται σε SMS είναι ένα σχετικά ελαττωματικό σύστημα που είναι επιρρεπές σε υποκλοπές ή επιθέσεις, είναι πολύ καλύτερο από το να βασίζεται απλώς σε έναν κωδικό πρόσβασης.

Εάν βρίσκεστε στην Ευρώπη, το καλύτερο που μπορείτε να κάνετε είναι να ελέγξετε ξανά κάθε OTP ή 2FA που λαμβάνετε. Χρειάζονται μόνο μερικά δευτερόλεπτα για να μεταβείτε στα Μηνύματα και να επαληθεύσετε τις πληροφορίες που σχετίζονται με τα συμφραζόμενα.

Αυτό ισχύει ιδιαίτερα εάν δεν μπορείτε εύκολα να διακρίνετε έναν κωδικό πρόσβασης TAN και έναν κωδικό πρόσβασης 2FA χωρίς να ελέγξετε το αρχικό μήνυμα κειμένου SMS.

Εάν δεν βρίσκεστε σε χώρα που χρησιμοποιεί TAN, είναι πιθανώς έξυπνο να επαληθεύσετε ύποπτα OTP που αποστέλλονται στη συσκευή σας. Εάν δεν συνδέεστε ενεργά και λάβετε ένα μήνυμα κειμένου OTP, τότε μάλλον κάτι δεν πάει καλά.

Επιπλέον, να είστε σε επιφυλακή για τα συστήματα TAN που θα εφαρμοστούν ευρύτερα στις τράπεζες των ΗΠΑ. Η Ευρώπη, τον τελευταίο καιρό, ηγείται της κατηγορίας όσον αφορά τα πρότυπα απορρήτου και ασφάλειας. Είναι πιθανό ότι το TAN θα μπορούσε να υιοθετηθεί από τράπεζες και χρηματοπιστωτικά ιδρύματα των ΗΠΑ στο εγγύς μέλλον.

Θα πρέπει επίσης να χρησιμοποιείτε γενικά βέλτιστες πρακτικές ασφαλείας όταν ασχολείστε με οικονομικά δεδομένα ή πληροφορίες σύνδεσης. Ακόμη και ο καλύτερος κωδικός πρόσβασης και η ασφάλεια 2FA δεν μπορούν να σας προστατεύσουν από την κοινωνική μηχανική.