Az Apple közelgő iOS 12-frissítésének egyik kisebb kiegészítése egy okos apróság, amely a biztonsági kód automatikus kitöltését teszi lehetővé.
Alapvetően ez egy olyan rendszer, amely sokkal könnyebbé teszi a kétfaktoros hitelesítési kódok bevitelét bejelentkezéskor.
De bármennyire is jó, az egyik biztonsági kutató úgy látja, hogy a biztonsági kód automatikus kitöltése potenciális sebezhetőség, amelyet a rosszindulatú támadók kihasználhatnak.
Íme, miért kell tudnia.
Tartalom
- Biztonsági kód automatikus kitöltése iOS 12
-
Mi a kockázat
- Mi az a TAN?
- A kockázat a biztonsági kód automatikus kitöltésével
- Az Apple tehet ez ellen valamit?
-
Hogyan védje meg magát
- Kapcsolódó hozzászólások:
Biztonsági kód automatikus kitöltése iOS 12
A kétfaktoros hitelesítéssel rendelkező fiókba való bejelentkezés általában két külön lépésből áll – innen ered a név.
Meg kell adnia felhasználónevét és jelszavát, majd SMS-t fog kapni egy egyszer használatos kóddal. Miután beírta a kódot, szabadon bejelentkezhet.
De az iOS 12 ezt egy kicsit másképp kezeli. Automatikusan képes észlelni, ha kétfaktoros hitelesítési kódot (más néven egyszeri jelszót vagy OTP-t) kap.
ÖSSZEFÜGGŐ:
- iOS 12 biztonsági funkciók
- Mi az erős jelszó? Miért választ az iPhone jelszavakat nekem?
- Az iOS 12 legjobb 25 funkciója, amely megéri az időt
A rendszer ezután naplózza ezt a nevet, és egyetlen kattintással megadja a lehetőséget. Az iOS 12 rendszerben opcióként jelenik meg a billentyűzet felett, egy megjegyzéssel, amely szerint „Üzenetekből”.
Ez természetesen sok időt takaríthat meg, mivel megakadályozza, hogy az alkalmazások között kelljen ugrálnia, vagy villámgyorsan memorizálnia kell az OTP-t.
De az egyszerű használat miatt is biztonsági kockázatot jelenthet bizonyos körülmények között.
Mi a kockázat
A kockázat elsősorban a pénzintézeteket terheli. Bár valószínűleg vannak más esetek is, amikor a biztonsági kód automatikus kitöltése kockázatos lehet, ez a legaggasztóbb forgatókönyv.
Andreas Gutmann, a OneSpan Cambridge-i Innovációs Központjának biztonsági kutatója szerint ez a legégetőbb probléma egy tranzakció hitelesítési szám (TAN) nevű dologra összpontosít.
Mi az a TAN?
A kéttényezős hitelesítéshez hasonlóan a TAN egy egyszeri kód, amelyet a rendszer a telefonjára küld. A TAN azonban nem a bejelentkezésre szolgál, hanem egy módja annak, hogy 2FA védelmet adjunk a pénzügyi tranzakciókhoz.
Alapvetően pénzátutaláskor vagy befizetéskor a bank egy TAN-t küld a telefonjára extra ellenőrzési lépésként, hogy megbizonyosodjon arról, hogy nincs bolondozás.
Beírja ezt a TAN-t egy megfelelő mezőbe, és a tranzakció jóváhagyásra kerül. Ha kap egy TAN-t, de nem hajtott végre semmilyen tranzakciót a közelmúltban, akkor azonnal fel kell vennie a kapcsolatot a bankjával.
Bár az Egyesült Államokban még nem elterjedtek, a TAN-védett tranzakciók meglehetősen gyakoriak Európában és más régiókban.
A kockázat a biztonsági kód automatikus kitöltésével
Mivel a biztonsági kód automatikus kitöltése automatikusan egyszeri jelszót kér az üzenetekből, kihagyja az összes releváns kontextust.
A banki szolgáltatások esetében ez a kontextus – például a pénzügyi összeg vagy a fizetési cél – kritikus fontosságú a tranzakció jogszerűségének ismeretében.
"Az a tény, hogy a felhasználó ellenőrzi ezeket a kiemelkedő információkat, pontosan az jelenti a biztonsági előnyt" - írta Gutmann egy blogbejegyzésében. "A folyamatból való eltávolítása hatástalanná teszi."
Más szóval, az Apple időtakarékos új funkciója potenciálisan sebezhetőbbé teheti a felhasználókat a pénzügyi csalással vagy a köztes támadásokkal szemben.
A felhasználó elméletileg automatikusan megadhat egy OTP-t a csalárd pénzügyi tranzakció jóváhagyásához. A támadó potenciálisan meghamisíthatja a biztonsági kód automatikus kitöltését egy rosszindulatú webhely vagy alkalmazás használatával.
Az Apple tehet ez ellen valamit?
A legfontosabb dolog, amit az Apple tehet, az az, hogy valamilyen intézkedést alkalmaz a biztonsági kód automatikus kitöltésében, amely különbséget tud tenni a 2FA-kérés és a TAN között.
Jelenleg nem világos, hogy a biztonsági kód automatikus kitöltése képes-e megkülönböztetni a 2FA-t és a TAN-t. Ha lehetséges, akkor ez a probléma sokkal kisebb lesz.
Természetesen, ha elég sokan aggodalmukat fejezik ki amiatt, hogy a biztonsági kód automatikus kitöltése sebezhető, az Apple frissítheti azt a probléma enyhítése érdekében.
Hogyan védje meg magát
Először is kellene nem tiltsa le a kéttényezős hitelesítést bármelyik fiókjában.
Míg az SMS-alapú kéttényezős hitelesítés egy viszonylag hibás rendszer, amely hajlamos az elfogásra vagy támadásokra, sokkal jobb, mint a jelszóra hagyatkozni.
Ha Európában tartózkodik, a legjobb, amit tehet, ha minden egyes OTP-t vagy 2FA-t újra ellenőriz. Csak néhány másodpercet vesz igénybe, hogy átugorjon az Üzenetek elemre, és ellenőrizze a környezeti információkat.
Ez különösen igaz, ha az eredeti SMS-üzenet ellenőrzése nélkül nem tud könnyen különbséget tenni a TAN és a 2FA kód között.
Ha nem olyan országban tartózkodik, amely TAN-t használ, valószínűleg még mindig okos ellenőrizni az eszközére küldött gyanús OTP-ket. Ha nem jelentkezik be aktívan, és OTP szöveges üzenetet kap, akkor valószínűleg valami nincs rendben.
Ezenkívül ügyeljen a TAN-rendszerek szélesebb körű bevezetésére az Egyesült Államok bankjaiban. Európa az utóbbi időben vezető szerepet tölt be az adatvédelmi és biztonsági előírások terén. Valószínű, hogy a TAN-t a közeljövőben átvehetik az amerikai bankok és pénzintézetek.
A pénzügyi adatok vagy a bejelentkezési adatok kezelésekor általánosan bevált biztonsági gyakorlatokat is alkalmaznia kell. Még a legjobb jelszó és a 2FA biztonság sem védheti meg a manipulációtól.
Mike szabadúszó újságíró a kaliforniai San Diego-ból.
Bár elsősorban az Apple-lel és a fogyasztói technológiával foglalkozik, korábbi tapasztalatai vannak a közbiztonságról, a helyi önkormányzatokról és az oktatásról szóló írásokban különféle kiadványok számára.
Jó néhány kalapot viselt az újságírás területén, köztük íróként, szerkesztőként és hírtervezőként.