Zašto je automatsko popunjavanje sigurnosnog koda u iOS-u 12 rizično + kako se zaštititi

Jedan od manjih dodataka u Appleovom nadolazećem ažuriranju za iOS 12 je pametna mala koja čini automatsko popunjavanje sigurnosnog koda.

U osnovi, to je sustav koji uvelike olakšava unos dvofaktornih kodova za autentifikaciju prilikom prijave.

No, koliko god da je dobro, jedan istraživač sigurnosti vidi AutoFill sigurnosnog koda kao potencijalnu ranjivost koju bi zlonamjerni napadači mogli iskoristiti.

Evo zašto morate znati.

Automatsko popunjavanje sigurnosnog koda iOS 12

Prijava na račun s dvofaktorskom autentifikacijom obično uključuje dva odvojena koraka - otuda i naziv.

Unijet ćete svoje korisničko ime i lozinku, a zatim primiti SMS poruku s jednokratnim kodom. Nakon što upišete taj kod, slobodni ste se prijaviti.

Ali iOS 12 to rješava malo drugačije. Može automatski otkriti kada primite dvofaktorni kod za autentifikaciju (također poznat kao jednokratna lozinka ili OTP).

POVEZANO:

• Sigurnosne značajke iOS 12
• Što je jaka lozinka? Zašto moj iPhone bira lozinke umjesto mene?
• 25 najboljih značajki iOS 12 koje su vrijedne vašeg vremena

Sustav će tada zabilježiti to ime i dati vam mogućnost da ga unesete jednim klikom. U iOS-u 12 pojavit će se kao opcija iznad tipkovnice s napomenom da je "Iz poruka".

Naravno, to može uštedjeti dosta vremena jer vas sprječava da skačete između aplikacija ili pamtite OTP u trenu.

Ali jednostavnost korištenja je i razlog zašto bi to u određenim okolnostima moglo predstavljati sigurnosni rizik.

Što je rizik

Prije svega, rizik leži u financijskim institucijama. Iako postoje vjerojatno drugi slučajevi kada bi automatsko popunjavanje sigurnosnog koda moglo biti rizično, ovo je scenarij koji najviše zabrinjava.

Andreas Gutmann, istraživač sigurnosti u OneSpan-ovom Cambridge Innovation Centru, kaže da je najhitniji problem usredotočuje se na nešto što se zove transakcijski autentifikacijski broj (TAN).

Što je TAN?

Poput dvofaktorske autentifikacije, TAN je jednokratni kod koji se šalje na vaš telefon. Ali TAN nije za prijavu – umjesto toga, to je način dodavanja 2FA zaštite financijskim transakcijama.

U osnovi, kada prenesete novac ili izvršite uplatu, banka će poslati TAN na vaš telefon kao dodatni korak za provjeru kako bi se osiguralo da nema gluposti.

Ovaj TAN unosite u odgovarajuće polje i transakcija je odobrena s vaše strane. Ako primite TAN, ali niste izvršili nikakvu nedavnu transakciju, trebali biste odmah kontaktirati svoju banku.

Iako još uvijek nisu rasprostranjene u SAD-u, transakcije zaštićene TAN-om prilično su uobičajene u cijeloj Europi i drugim regijama.

Rizik s automatskim popunjavanjem sigurnosnih kodova

Budući da Automatsko popunjavanje sigurnosnog koda automatski izvlači jednokratnu šifru iz poruka, izostavlja sav relevantan kontekst.

Za bankarstvo je taj kontekst – poput financijskog iznosa ili odredišta plaćanja – ključan za saznanje je li transakcija legitimna.

"Činjenica da korisnik provjerava ove istaknute informacije je upravo ono što pruža sigurnosnu prednost", napisao je Gutmann u blogu. "Uklanjanje toga iz procesa čini ga neučinkovitim."

Drugim riječima, Appleova nova značajka koja štedi vrijeme mogla bi potencijalno učiniti korisnike ranjivijima na financijske prijevare ili napade čovjeka u sredini.

Korisnik bi, teoretski, mogao automatski unijeti OTP kako bi odobrio lažnu financijsku transakciju. Napadač bi potencijalno mogao prevariti automatsko popunjavanje sigurnosnog koda pomoću zlonamjerne web stranice ili aplikacije.

Može li Apple išta učiniti u vezi s tim?

Glavna stvar koju bi Apple mogao učiniti jest implementirati neku vrstu mjere u AutoFill sigurnosnog koda koja može razlikovati 2FA zahtjev i TAN.

Trenutno nije jasno može li automatsko popunjavanje sigurnosnog koda razlikovati 2FA i TAN. Ako može, onda ovaj problem postaje mnogo manji problem.

Naravno, ako dovoljno ljudi izrazi zabrinutost da je automatsko popunjavanje sigurnosnog koda ranjivost, Apple bi ga mogao ažurirati kako bi ublažio problem.

Kako se zaštititi

Prije svega, trebao bi ne onemogućite dvofaktorsku autentifikaciju na bilo kojem od svojih računa.

Iako je dvofaktorska autentifikacija temeljena na SMS-u relativno pogrešan sustav koji je sklon presretanju ili napadima, puno je bolja od oslanjanja na samo lozinku.

Ako ste u Europi, najbolje što možete učiniti je još jednom provjeriti svaki pojedinačni OTP ili 2FA koji primite. Potrebno je samo nekoliko sekundi da se prebacite na Poruke i provjerite kontekstualne informacije.

To je osobito istinito ako ne možete lako razlikovati TAN i 2FA lozinku bez provjere izvorne SMS poruke.

Ako niste u zemlji koja koristi TAN, vjerojatno je još uvijek pametno provjeriti sumnjive OTP-ove koji se šalju na vaš uređaj. Ako se ne prijavljujete aktivno i primite OTP tekstualnu poruku, vjerojatno nešto nije u redu.

Nadalje, pazite na to da se TAN sustavi šire implementiraju u američkim bankama. Europa je u posljednje vrijeme prednjačila kada su u pitanju standardi privatnosti i sigurnosti. Vjerojatno bi TAN mogle usvojiti američke banke i financijske institucije u bliskoj budućnosti.

Također biste trebali koristiti najbolje sigurnosne prakse općenito kada radite s financijskim podacima ili podacima za prijavu. Čak i najbolja lozinka i 2FA sigurnost ne mogu vas zaštititi od društvenog inženjeringa.