Perché la compilazione automatica del codice di sicurezza di iOS 12 è rischiosa + Come proteggersi

Una delle aggiunte più piccole nel prossimo aggiornamento di iOS 12 di Apple è un piccolo intelligente che fa chiamare il riempimento automatico del codice di sicurezza.

Fondamentalmente, è un sistema che rende l'immissione di codici di autenticazione a due fattori durante l'accesso molto più semplice.

Ma per quanto positivo, un ricercatore di sicurezza vede il riempimento automatico del codice di sicurezza come una potenziale vulnerabilità che potrebbe essere sfruttata da aggressori malintenzionati.

Ecco perché devi saperlo.

Compilazione automatica del codice di sicurezza iOS 12

L'accesso a un account con autenticazione a due fattori richiede in genere due passaggi separati, da cui il nome.

Inserisci il tuo nome utente e password, quindi riceverai un messaggio di testo SMS con un codice monouso. Una volta digitato il codice, sei libero di accedere.

Ma iOS 12 lo gestisce in modo leggermente diverso. Può rilevare automaticamente quando ricevi un codice di autenticazione a due fattori (noto anche come passcode monouso o OTP).

IMPARENTATO:

• Funzionalità di sicurezza di iOS 12
• Che cos'è una password sicura? Perché il mio iPhone sceglie le password per me?
• Le 25 migliori funzionalità di iOS 12 che valgono il tuo tempo

Il sistema registrerà quindi quel nome e ti darà la possibilità di inserirlo con un solo clic. In iOS 12, apparirà come opzione sopra la tastiera con una nota che indica che è "Dai messaggi".

Ovviamente, questo può far risparmiare un po' di tempo in quanto ti impedisce di dover saltare tra le app o memorizzare l'OTP in un lampo.

Ma la facilità d'uso è anche il motivo per cui potrebbe essere un rischio per la sicurezza in determinate circostanze.

Qual è il rischio?

In primo luogo, il rischio è delle istituzioni finanziarie. Sebbene ci siano probabilmente altri casi in cui la compilazione automatica del codice di sicurezza potrebbe essere rischiosa, questo è lo scenario più preoccupante.

Andreas Gutmann, ricercatore di sicurezza presso il Cambridge Innovation Center di OneSpan, dice che il problema più urgente si basa su qualcosa chiamato numero di autenticazione della transazione (TAN).

Cos'è un TAN?

Come l'autenticazione a due fattori, un TAN è un codice monouso che viene inviato al tuo telefono. Ma un TAN non serve per accedere, ma è un modo per aggiungere la protezione 2FA alle transazioni finanziarie.

Fondamentalmente, quando trasferisci denaro o effettui un pagamento, una banca invierà un TAN al tuo telefono come ulteriore passaggio di verifica per assicurarti che non ci siano buffonate.

Inserisci questo TAN in un campo appropriato e la transazione viene approvata da parte tua. Se ricevi un TAN ma non hai effettuato transazioni recenti, devi contattare immediatamente la tua banca.

Sebbene non siano ancora diffuse negli Stati Uniti, le transazioni protette da TAN sono abbastanza comuni in tutta Europa e in altre regioni.

Il rischio con la compilazione automatica del codice di sicurezza

Poiché la compilazione automatica del codice di sicurezza estrae automaticamente un passcode monouso dai messaggi, esclude tutto il contesto pertinente.

Per il settore bancario, tale contesto, come l'importo finanziario o la destinazione del pagamento, è fondamentale per sapere se una transazione è legittima.

"Il fatto che un utente verifichi queste informazioni salienti è esattamente ciò che fornisce il vantaggio in termini di sicurezza", ha scritto Gutmann in un post sul blog. "Rimuoverlo dal processo lo rende inefficace".

In altre parole, la nuova funzionalità di Apple che fa risparmiare tempo potrebbe potenzialmente rendere gli utenti più vulnerabili a frodi finanziarie o attacchi man-in-the-middle.

Un utente, in teoria, potrebbe inserire automaticamente una OTP per approvare una transazione finanziaria fraudolenta. Un utente malintenzionato potrebbe potenzialmente falsificare un riempimento automatico del codice di sicurezza utilizzando un sito Web o un'app dannosi.

Apple può fare qualcosa al riguardo?

La cosa principale che Apple potrebbe fare è implementare un qualche tipo di misura nella compilazione automatica del codice di sicurezza che possa distinguere tra una richiesta 2FA e un TAN.

Al momento non è chiaro se la compilazione automatica del codice di sicurezza sia in grado di distinguere tra 2FA e TAN. Se è possibile, questo problema diventa molto meno problematico.

Ovviamente, se un numero sufficiente di persone esprime preoccupazione sul fatto che il riempimento automatico del codice di sicurezza sia una vulnerabilità, Apple potrebbe aggiornarlo per mitigare il problema.

Come proteggersi

Prima di tutto, dovresti non disabilitare l'autenticazione a due fattori su uno qualsiasi dei tuoi account.

Sebbene l'autenticazione a due fattori basata su SMS sia un sistema relativamente imperfetto e soggetto a intercettazioni o attacchi, è molto meglio che affidarsi semplicemente a una password.

Se sei in Europa, la cosa migliore che puoi fare è ricontrollare ogni singola OTP o 2FA che ricevi. Ci vogliono solo un paio di secondi per passare a Messaggi e verificare le informazioni contestuali.

Ciò è particolarmente vero se non riesci a distinguere facilmente tra un codice TAN e un passcode 2FA senza controllare il messaggio di testo SMS originale.

Se non ti trovi in ​​un paese che utilizza il TAN, probabilmente è comunque intelligente verificare le OTP sospette inviate al tuo dispositivo. Se non stai accedendo attivamente e ricevi un messaggio di testo OTP, probabilmente c'è qualcosa che non va.

Inoltre, stai alla ricerca di sistemi TAN da implementare in modo più ampio nelle banche statunitensi. L'Europa, negli ultimi tempi, è stata all'avanguardia per quanto riguarda gli standard di privacy e sicurezza. È probabile che il TAN possa essere adottato dalle banche e dagli istituti finanziari statunitensi nel prossimo futuro.

Dovresti anche utilizzare le migliori pratiche di sicurezza in generale quando si tratta di dati finanziari o informazioni di accesso. Anche la migliore password e la sicurezza 2FA non possono proteggerti dall'ingegneria sociale.