Miks on iOS 12 turvakoodi automaatne täitmine riskantne + kuidas end kaitsta

Üks väiksemaid täiendusi Apple'i tulevases iOS 12 värskenduses on nutikas pisik, mis muudab turvakoodi automaatse täitmise.

Põhimõtteliselt on see süsteem, mis muudab kahefaktoriliste autentimiskoodide sisestamise sisselogimisel palju lihtsamaks.

Üks turbeuurija näeb turvakoodi automaattäitmises potentsiaalset haavatavust, mida pahatahtlikud ründajad võivad ära kasutada.

Siin on põhjus, miks sa pead teadma.

Turvakoodi automaatne täitmine iOS 12

Kahefaktorilise autentimisega kontole sisselogimine hõlmab tavaliselt kahte eraldi sammu – sellest ka nimi.

Sisestate oma kasutajanime ja parooli ning seejärel saate SMS-sõnumi koos ühekordse koodiga. Kui olete selle koodi sisestanud, saate vabalt sisse logida.

Kuid iOS 12 käsitleb seda veidi teisiti. See suudab automaatselt tuvastada, kui saate kahefaktorilise autentimiskoodi (tuntud ka kui ühekordne pääsukood või OTP).

SEOTUD:

• iOS 12 turvafunktsioonid
• Mis on tugev parool? Miks valib minu iPhone minu jaoks paroole?
• 25 parimat iOS 12 funktsiooni, mis on teie aega väärt

Seejärel logib süsteem selle nime ja annab teile võimaluse sisestada see ühe klõpsuga. iOS 12 puhul kuvatakse see valikuna klaviatuuri kohal koos märkusega, et see on "Sõnumitest".

Muidugi võib see säästa üsna palju aega, kuna see hoiab ära selle, et peate rakenduste vahel hüppama või OTP-d välkkiirelt meelde jätma.

Kuid kasutusmugavus on ka põhjus, miks see võib teatud asjaoludel olla turvarisk.

Mis on risk

Eelkõige lasub risk finantsasutustel. Kuigi on tõenäoliselt ka teisi juhtumeid, kui turvakoodi automaatne täitmine võib olla riskantne, on see kõige murettekitavam stsenaarium.

Andreas Gutmann, OneSpani Cambridge'i innovatsioonikeskuse turvateadlane, ütleb, et kõige pakilisem probleem keskendub millelegi, mida nimetatakse tehingu autentimisnumbriks (TAN).

Mis on TAN?

Nagu kahefaktoriline autentimine, on ka TAN ühekordne kood, mis saadetakse teie telefoni. Kuid TAN ei ole mõeldud sisselogimiseks – selle asemel on see viis finantstehingute 2FA kaitse lisamiseks.

Põhimõtteliselt saadab pank raha ülekandmisel või makse sooritamisel teie telefoni täiendava kinnitustoiminguna TAN-i, et vältida hullumeelsust.

Sisestate selle TAN-i sobivale väljale ja tehing kinnitatakse teie poolt. Kui saate TAN-i, kuid te ei teinud hiljutisi tehinguid, peaksite kohe oma pangaga ühendust võtma.

Kuigi TAN-kaitsega tehingud pole USA-s veel laialt levinud, on need üsna levinud kogu Euroopas ja teistes piirkondades.

Risk turvakoodi automaatse täitmisega

Kuna turvakoodi automaattäitmine tõmbab sõnumitest automaatselt ühekordse pääsukoodi, jätab see kogu asjakohase konteksti välja.

Panganduse puhul on see kontekst – nagu rahaline summa või makse sihtkoht – ülioluline, et teada saada, kas tehing on õigustatud.

"Asjaolu, et kasutaja kontrollib seda silmapaistvat teavet, annab turvalisuse eelise," kirjutas Gutmann ajaveebi postituses. "Selle eemaldamine protsessist muudab selle ebatõhusaks."

Teisisõnu, Apple'i uus aega säästev funktsioon võib potentsiaalselt muuta kasutajad haavatavamaks finantspettuste või rünnakute suhtes.

Teoreetiliselt võib kasutaja pettuse finantstehingu kinnitamiseks automaatselt sisestada OTP-d. Ründaja võib pahatahtliku veebisaidi või rakenduse abil turvakoodi automaattäitmist võltsida.

Kas Apple saab sellega midagi ette võtta?

Peamine asi, mida Apple saaks teha, on rakendada turvakoodi automaattäites teatud tüüpi meedet, mis suudab eristada 2FA-päringut TAN-ist.

Praegu pole selge, kas turvakoodi automaatne täitmine suudab eristada 2FA-d ja TAN-i. Kui see on võimalik, muutub see probleem palju väiksemaks.

Muidugi, kui piisavalt inimesi väljendab muret turvakoodi automaatse täitmise haavatavuse pärast, võib Apple seda probleemi leevendamiseks värskendada.

Kuidas end kaitsta

Esiteks peaksite mitte keelake kahefaktoriline autentimine igal oma kontol.

Kuigi SMS-ipõhine kahefaktoriline autentimine on suhteliselt vigane süsteem, mis on altid pealtkuulamisele või rünnakutele, on see palju parem kui lihtsalt paroolile tuginemine.

Kui olete Euroopas, on parim, mida saate teha, kontrollida iga saadud OTP- või 2FA-teenust. Sõnumite avamiseks ja kontekstuaalse teabe kontrollimiseks kulub vaid paar sekundit.

See kehtib eriti siis, kui te ei suuda TAN-i ja 2FA-pääsukoodil hõlpsasti eristada ilma algset SMS-i kontrollimata.

Kui te ei asu riigis, kus kasutatakse TAN-i, on tõenäoliselt siiski mõistlik kontrollida teie seadmesse saadetud kahtlasi ühekordseid protokolle. Kui te ei logi aktiivselt sisse ja saate OTP-tekstisõnumi, on tõenäoliselt midagi valesti.

Lisaks jälgige, et USA pankades rakendataks laiemalt TAN-süsteeme. Euroopa on viimasel ajal olnud privaatsus- ja turvastandardite osas juhtpositsioonil. Tõenäoliselt võivad USA pangad ja finantsasutused TAN-i lähitulevikus kasutusele võtta.

Finantsandmete või sisselogimisandmete käsitlemisel peaksite kasutama ka turvalisuse parimaid tavasid. Isegi parim parool ja 2FA turvalisus ei saa teid sotsiaalse manipuleerimise eest kaitsta.