Miért kockázatos az iOS 12 biztonsági kódjának automatikus kitöltése? + Hogyan védheti meg magát?

Az Apple közelgő iOS 12-frissítésének egyik kisebb kiegészítése egy okos apróság, amely a biztonsági kód automatikus kitöltését teszi lehetővé.

Alapvetően ez egy olyan rendszer, amely sokkal könnyebbé teszi a kétfaktoros hitelesítési kódok bevitelét bejelentkezéskor.

De bármennyire is jó, az egyik biztonsági kutató úgy látja, hogy a biztonsági kód automatikus kitöltése potenciális sebezhetőség, amelyet a rosszindulatú támadók kihasználhatnak.

Íme, miért kell tudnia.

Biztonsági kód automatikus kitöltése iOS 12

A kétfaktoros hitelesítéssel rendelkező fiókba való bejelentkezés általában két külön lépésből áll – innen ered a név.

Meg kell adnia felhasználónevét és jelszavát, majd SMS-t fog kapni egy egyszer használatos kóddal. Miután beírta a kódot, szabadon bejelentkezhet.

De az iOS 12 ezt egy kicsit másképp kezeli. Automatikusan képes észlelni, ha kétfaktoros hitelesítési kódot (más néven egyszeri jelszót vagy OTP-t) kap.

ÖSSZEFÜGGŐ:

• iOS 12 biztonsági funkciók
• Mi az erős jelszó? Miért választ az iPhone jelszavakat nekem?
• Az iOS 12 legjobb 25 funkciója, amely megéri az időt

A rendszer ezután naplózza ezt a nevet, és egyetlen kattintással megadja a lehetőséget. Az iOS 12 rendszerben opcióként jelenik meg a billentyűzet felett, egy megjegyzéssel, amely szerint „Üzenetekből”.

Ez természetesen sok időt takaríthat meg, mivel megakadályozza, hogy az alkalmazások között kelljen ugrálnia, vagy villámgyorsan memorizálnia kell az OTP-t.

De az egyszerű használat miatt is biztonsági kockázatot jelenthet bizonyos körülmények között.

Mi a kockázat

A kockázat elsősorban a pénzintézeteket terheli. Bár valószínűleg vannak más esetek is, amikor a biztonsági kód automatikus kitöltése kockázatos lehet, ez a legaggasztóbb forgatókönyv.

Andreas Gutmann, a OneSpan Cambridge-i Innovációs Központjának biztonsági kutatója szerint ez a legégetőbb probléma egy tranzakció hitelesítési szám (TAN) nevű dologra összpontosít.

Mi az a TAN?

A kéttényezős hitelesítéshez hasonlóan a TAN egy egyszeri kód, amelyet a rendszer a telefonjára küld. A TAN azonban nem a bejelentkezésre szolgál, hanem egy módja annak, hogy 2FA védelmet adjunk a pénzügyi tranzakciókhoz.

Alapvetően pénzátutaláskor vagy befizetéskor a bank egy TAN-t küld a telefonjára extra ellenőrzési lépésként, hogy megbizonyosodjon arról, hogy nincs bolondozás.

Beírja ezt a TAN-t egy megfelelő mezőbe, és a tranzakció jóváhagyásra kerül. Ha kap egy TAN-t, de nem hajtott végre semmilyen tranzakciót a közelmúltban, akkor azonnal fel kell vennie a kapcsolatot a bankjával.

Bár az Egyesült Államokban még nem elterjedtek, a TAN-védett tranzakciók meglehetősen gyakoriak Európában és más régiókban.

A kockázat a biztonsági kód automatikus kitöltésével

Mivel a biztonsági kód automatikus kitöltése automatikusan egyszeri jelszót kér az üzenetekből, kihagyja az összes releváns kontextust.

A banki szolgáltatások esetében ez a kontextus – például a pénzügyi összeg vagy a fizetési cél – kritikus fontosságú a tranzakció jogszerűségének ismeretében.

"Az a tény, hogy a felhasználó ellenőrzi ezeket a kiemelkedő információkat, pontosan az jelenti a biztonsági előnyt" - írta Gutmann egy blogbejegyzésében. "A folyamatból való eltávolítása hatástalanná teszi."

Más szóval, az Apple időtakarékos új funkciója potenciálisan sebezhetőbbé teheti a felhasználókat a pénzügyi csalással vagy a köztes támadásokkal szemben.

A felhasználó elméletileg automatikusan megadhat egy OTP-t a csalárd pénzügyi tranzakció jóváhagyásához. A támadó potenciálisan meghamisíthatja a biztonsági kód automatikus kitöltését egy rosszindulatú webhely vagy alkalmazás használatával.

Az Apple tehet ez ellen valamit?

A legfontosabb dolog, amit az Apple tehet, az az, hogy valamilyen intézkedést alkalmaz a biztonsági kód automatikus kitöltésében, amely különbséget tud tenni a 2FA-kérés és a TAN között.

Jelenleg nem világos, hogy a biztonsági kód automatikus kitöltése képes-e megkülönböztetni a 2FA-t és a TAN-t. Ha lehetséges, akkor ez a probléma sokkal kisebb lesz.

Természetesen, ha elég sokan aggodalmukat fejezik ki amiatt, hogy a biztonsági kód automatikus kitöltése sebezhető, az Apple frissítheti azt a probléma enyhítése érdekében.

Hogyan védje meg magát

Először is kellene nem tiltsa le a kéttényezős hitelesítést bármelyik fiókjában.

Míg az SMS-alapú kéttényezős hitelesítés egy viszonylag hibás rendszer, amely hajlamos az elfogásra vagy támadásokra, sokkal jobb, mint a jelszóra hagyatkozni.

Ha Európában tartózkodik, a legjobb, amit tehet, ha minden egyes OTP-t vagy 2FA-t újra ellenőriz. Csak néhány másodpercet vesz igénybe, hogy átugorjon az Üzenetek elemre, és ellenőrizze a környezeti információkat.

Ez különösen igaz, ha az eredeti SMS-üzenet ellenőrzése nélkül nem tud könnyen különbséget tenni a TAN és a 2FA kód között.

Ha nem olyan országban tartózkodik, amely TAN-t használ, valószínűleg még mindig okos ellenőrizni az eszközére küldött gyanús OTP-ket. Ha nem jelentkezik be aktívan, és OTP szöveges üzenetet kap, akkor valószínűleg valami nincs rendben.

Ezenkívül ügyeljen a TAN-rendszerek szélesebb körű bevezetésére az Egyesült Államok bankjaiban. Európa az utóbbi időben vezető szerepet tölt be az adatvédelmi és biztonsági előírások terén. Valószínű, hogy a TAN-t a közeljövőben átvehetik az amerikai bankok és pénzintézetek.

A pénzügyi adatok vagy a bejelentkezési adatok kezelésekor általánosan bevált biztonsági gyakorlatokat is alkalmaznia kell. Még a legjobb jelszó és a 2FA biztonság sem védheti meg a manipulációtól.