Miksi iOS 12:n suojakoodin automaattinen täyttö on riskialtista + Kuinka suojata itsesi

Yksi Applen tulevan iOS 12 -päivityksen pienimmistä lisäyksistä on fiksu pieni, joka tekee nimeltään Security Code AutoFill.

Pohjimmiltaan se on järjestelmä, joka helpottaa kaksivaiheisten todennuskoodien syöttämistä sisäänkirjautumisen yhteydessä.

Eräs tietoturvatutkija kuitenkin näkee suojakoodin automaattisen täytön mahdollisena haavoittuvuuskohtana, jota haitalliset hyökkääjät voivat hyödyntää.

Tässä on miksi sinun on tiedettävä.

Turvakoodin automaattinen täyttö iOS 12

Tilille kirjautuminen kaksivaiheisella todennuksella sisältää tyypillisesti kaksi erillistä vaihetta - tästä syystä nimi.

Syötät käyttäjätunnuksesi ja salasanasi ja saat sitten tekstiviestin, jossa on kertakäyttöinen koodi. Kun kirjoitat koodin, voit kirjautua sisään.

Mutta iOS 12 käsittelee tämän hieman eri tavalla. Se voi havaita automaattisesti, kun vastaanotat kaksivaiheisen todennuskoodin (tunnetaan myös kertakäyttöisenä salasanana tai OTP-koodina).

AIHEUTTAA:

• iOS 12:n suojausominaisuudet
• Mikä on vahva salasana? Miksi iPhoneni valitsee salasanat minulle?
• 25 parasta iOS 12 -ominaisuutta, jotka ovat aikasi arvoisia

Järjestelmä kirjaa sitten kyseisen nimen ja antaa sinulle mahdollisuuden syöttää se yhdellä napsautuksella. iOS 12:ssa se näkyy vaihtoehtona näppäimistön yläpuolella, ja siinä on huomautus, jonka mukaan se on "Viestistä".

Tietenkin tämä voi säästää melkoisesti aikaa, koska se estää sinua hyppäämästä sovellusten välillä tai muistamasta OTP: tä silmänräpäyksessä.

Mutta helppokäyttöisyys on myös syy, miksi se voi olla turvallisuusriski tietyissä olosuhteissa.

Mikä on riski

Riskit ovat ensisijaisesti rahoituslaitoksissa. Vaikka on muitakin tapauksia, joissa suojakoodin automaattinen täyttö voi olla riskialtista, tämä on huolestuttavin skenaario.

Andreas Gutmann, OneSpanin Cambridge Innovation Centerin turvallisuustutkija, sanoo, että se on kiireellisin ongelma keskittyy johonkin, jota kutsutaan tapahtuman todennusnumeroksi (TAN).

Mikä on TAN?

Kuten kaksivaiheinen todennus, TAN on kertakäyttöinen koodi, joka lähetetään puhelimeesi. Mutta TAN ei ole sisäänkirjautumista varten, vaan se on tapa lisätä 2FA-suojaus rahoitustapahtumiin.

Periaatteessa, kun siirrät rahaa tai suoritat maksun, pankki lähettää TAN-numeron puhelimeesi ylimääräisenä varmistusvaiheena varmistaakseen, ettei huijausta tapahdu.

Syötät tämän TAN: n sopivaan kenttään ja tapahtuma hyväksytään puolestasi. Jos saat TAN-todistuksen, mutta et ole tehnyt viimeaikaisia ​​tapahtumia, sinun tulee ottaa välittömästi yhteyttä pankkiisi.

Vaikka TAN-suojatut tapahtumat eivät ole vielä kovin yleisiä Yhdysvalloissa, ne ovat melko yleisiä kaikkialla Euroopassa ja muilla alueilla.

Riski suojakoodin automaattisella täytöllä

Koska suojakoodin automaattinen täyttö hakee automaattisesti kertaluonteisen salasanan viesteistä, se jättää pois kaiken asiaankuuluvan kontekstin.

Pankkitoiminnassa tämä konteksti – kuten rahasumma tai maksun kohde – on kriittinen, kun tiedetään, onko tapahtuma laillinen.

"Se tosiasia, että käyttäjä tarkistaa nämä keskeiset tiedot, on juuri se, mikä tarjoaa turvallisuusedun", Gutmann kirjoitti blogikirjoituksessaan. "Sen poistaminen prosessista tekee siitä tehottoman."

Toisin sanoen Applen aikaa säästävä uusi ominaisuus voi mahdollisesti tehdä käyttäjistä alttiimpia taloudellisille petoksille tai välimieshyökkäyksille.

Käyttäjä voisi teoriassa automaattisesti syöttää OTP: n hyväksyäkseen vilpillisen rahoitustapahtuman. Hyökkääjä voi mahdollisesti huijata suojakoodin automaattista täyttöä käyttämällä haitallista verkkosivustoa tai sovellusta.

Voiko Apple tehdä asialle mitään?

Tärkein asia, jonka Apple voisi tehdä, on ottaa suojakoodin automaattiseen täyttöön jonkinlainen toimenpide, joka voi erottaa 2FA-pyynnön ja TAN-pyynnön.

Tällä hetkellä ei ole selvää, pystyykö suojakoodin automaattinen täyttö erottamaan 2FA: n ja TAN: n. Jos mahdollista, tästä ongelmasta tulee paljon vähemmän ongelmallinen.

Tietenkin, jos tarpeeksi ihmisiä ilmaisee huolensa suojakoodin automaattisen täytön haavoittuvuudesta, Apple voisi päivittää sen ongelman lieventämiseksi.

Kuinka suojella itseäsi

Ensinnäkin sinun pitäisi ei poista kaksivaiheinen todennus käytöstä millä tahansa tililläsi.

Vaikka tekstiviestipohjainen kaksivaiheinen todennus on suhteellisen virheellinen järjestelmä, joka on alttiina sieppauksille tai hyökkäyksille, se on paljon parempi kuin pelkkä salasanan luottaminen.

Jos olet Euroopassa, paras asia, jonka voit tehdä, on tarkistaa jokainen vastaanottamasi OTP tai 2FA. Viestit-kohtaan siirtyminen ja asiayhteystietojen tarkistaminen kestää vain muutaman sekunnin.

Tämä on erityisen totta, jos et pysty helposti erottamaan TAN- ja 2FA-salakoodia tarkistamatta alkuperäistä tekstiviestiä.

Jos et ole maassa, jossa käytetään TAN: ia, on luultavasti silti järkevää varmistaa laitteellesi lähetetyt epäilyttävät OTP: t. Jos et kirjaudu sisään aktiivisesti ja saat OTP-tekstiviestin, jokin on todennäköisesti vialla.

Tarkkaile myös TAN-järjestelmiä, jotka otetaan käyttöön laajemmin yhdysvaltalaisissa pankeissa. Eurooppa on viime aikoina johtanut yksityisyyttä ja turvallisuusstandardeja. On todennäköistä, että yhdysvaltalaiset pankit ja rahoituslaitokset voivat ottaa TANin käyttöön lähitulevaisuudessa.

Sinun tulee myös käyttää turvallisuuden parhaita käytäntöjä yleisesti, kun käsittelet taloustietoja tai kirjautumistietoja. Edes paras salasana ja 2FA-suojaus eivät voi suojata sinua manipulaatiolta.