מדוע המילוי האוטומטי של קוד האבטחה של iOS 12 מסוכן + איך להגן על עצמך

אחת התוספות הקטנות יותר בעדכון הקרוב של אפל ל-iOS 12 היא מעט חכם שעושה את השם "מילוי אוטומטי של קוד אבטחה".

בעיקרון, זו מערכת שמקלה הרבה מאוד על הזנת קודי אימות דו-גורמי בעת הכניסה.

אבל עד כמה שזה עושה, חוקר אבטחה אחד רואה במילוי אוטומטי של קוד אבטחה פגיעות פוטנציאלית שיכולים להיות מנוצלים על ידי תוקפים זדוניים.

הנה הסיבה שאתה צריך לדעת.

מילוי אוטומטי של קוד אבטחה iOS 12

כניסה לחשבון עם אימות דו-גורמי כרוכה בדרך כלל בשני שלבים נפרדים - ומכאן השם.

תזין את שם המשתמש והסיסמה שלך ולאחר מכן תקבל הודעת טקסט עם קוד חד פעמי. לאחר שתקליד את הקוד הזה, אתה חופשי להתחבר.

אבל iOS 12 מטפל בזה קצת אחרת. זה יכול לזהות באופן אוטומטי מתי אתה מקבל קוד אימות דו-גורמי (המכונה גם קוד גישה חד פעמי או OTP).

קָשׁוּר:

• תכונות אבטחה של iOS 12
• מהי סיסמה חזקה? מדוע האייפון שלי בוחר סיסמאות עבורי?
• 25 התכונות המובילות של iOS 12 ששווה את הזמן שלך

לאחר מכן המערכת תרשום את השם הזה ותיתן לך אפשרות להזין אותו בלחיצה אחת. ב-iOS 12, זה יופיע כאפשרות מעל המקלדת עם הערה המציינת שזה "מהודעות".

כמובן, זה יכול לחסוך לא מעט זמן מכיוון שהוא מונע ממך לדלג בין אפליקציות או לשנן את ה-OTP במהירות הבזק.

אבל קלות השימוש היא גם הסיבה שזה יכול להוות סיכון אבטחה בנסיבות מסוימות.

מה הסיכון

בראש ובראשונה, הסיכון טמון במוסדות פיננסיים. למרות שסביר להניח שיש מקרים אחרים שבהם מילוי אוטומטי של קוד אבטחה עלול להיות מסוכן, זהו התרחיש המדאיג ביותר.

אנדראס גוטמן, חוקר אבטחה במרכז החדשנות בקיימברידג' של OneSpan, אומר שהבעיה הדחופה ביותר מתמקד במשהו שנקרא מספר אימות עסקה (TAN).

מה זה TAN?

כמו אימות דו-גורמי, TAN הוא קוד חד פעמי שנשלח לטלפון שלך. אבל TAN לא מיועד לכניסה - במקום זאת, זו דרך להוסיף הגנת 2FA לעסקאות פיננסיות.

בעיקרון, כאשר אתה מעביר כסף או מבצע תשלום, בנק ישלח TAN לטלפון שלך כשלב אימות נוסף כדי לוודא שלא מתרחשת שטויות.

אתה מזין את ה-TAN הזה בשדה מתאים והעסקה מאושרת מצדך. אם אתה מקבל TAN אך לא ביצעת עסקאות אחרונות, אתה אמור ליצור קשר עם הבנק שלך באופן מיידי.

למרות שעדיין לא נפוצות בארה"ב, עסקאות מוגנות TAN שכיחות למדי בכל אירופה ובאזורים אחרים.

הסיכון עם מילוי אוטומטי של קוד אבטחה

כיוון ש'מילוי אוטומטי של קוד אבטחה' מושך אוטומטית קוד גישה חד פעמי מהודעות, הוא משאיר את כל ההקשר הרלוונטי.

עבור בנקאות, ההקשר הזה - כמו סכום כספי או יעד תשלום - הוא קריטי כדי לדעת אם עסקה היא לגיטימית.

"העובדה שמשתמש מאמת את המידע הבולט הזה היא בדיוק מה שמספק את יתרון האבטחה", כתב גוטמן בפוסט בבלוג. "הסרה של זה מהתהליך הופכת אותו ללא יעיל."

במילים אחרות, התכונה החדשה של אפל, החוסכת בזמן, עשויה להפוך את המשתמשים לפגיעים יותר להונאה פיננסית או להתקפות "אדם באמצע".

משתמש, תיאורטית, יכול להזין אוטומטית OTP כדי לאשר עסקה פיננסית הונאה. תוקף עלול לזייף מילוי אוטומטי של קוד אבטחה באמצעות אתר אינטרנט או אפליקציה זדוניים.

האם אפל יכולה לעשות משהו בנידון?

הדבר העיקרי שאפל יכולה לעשות הוא ליישם סוג כלשהו של אמצעי במילוי אוטומטי של קוד אבטחה שיכול להבדיל בין בקשת 2FA ל-TAN.

כרגע לא ברור אם מילוי אוטומטי של קוד אבטחה יכול להבחין בין 2FA ל-TAN. אם זה יכול, אז הנושא הזה הופך להיות הרבה פחות בעיה.

כמובן, אם מספיק אנשים יביעו דאגה לגבי מילוי אוטומטי של קוד אבטחה כפגיעות, אפל תוכל לעדכן אותו כדי להקל על הבעיה.

איך להגן על עצמך

קודם כל, כדאי לֹא השבת אימות דו-גורמי בכל אחד מהחשבונות שלך.

אמנם אימות דו-גורמי מבוסס SMS היא מערכת פגומה יחסית הנוטה ליירוט או להתקפות, אבל זה הרבה יותר טוב מסתם הסתמכות על סיסמה.

אם אתה באירופה, הדבר הטוב ביותר שאתה יכול לעשות הוא לבדוק שוב כל OTP או 2FA שאתה מקבל. זה לוקח רק כמה שניות כדי לעבור להודעות ולאמת את המידע ההקשרי.

זה נכון במיוחד אם אינך יכול להבחין בקלות בין TAN לקוד סיסמה 2FA מבלי לבדוק את הודעת ה-SMS המקורית.

אם אינך נמצא במדינה שמשתמשת ב-TAN, כנראה שעדיין חכם לאמת OTPs חשודים שנשלחים למכשיר שלך. אם אינך מתחבר באופן פעיל ואתה מקבל הודעת טקסט OTP, כנראה שמשהו לא בסדר.

יתר על כן, חפשו אחר מערכות TAN שיוטמעו בצורה רחבה יותר בבנקים בארה"ב. אירופה, בתקופה האחרונה, מובילה את האחריות בכל הנוגע לתקני פרטיות ואבטחה. סביר להניח ש-TAN עשוי להיות מאומץ על ידי בנקים ומוסדות פיננסיים בארה"ב בעתיד הקרוב.

כמו כן, עליך להשתמש בשיטות עבודה מומלצות לאבטחה באופן כללי בעת התמודדות עם נתונים פיננסיים או פרטי התחברות. אפילו הסיסמה הטובה ביותר ואבטחת 2FA לא יכולות להגן עליך מפני הנדסה חברתית.