IOS 12의 보안 코드 자동 완성이 위험한 이유 + 자신을 보호하는 방법

아이폰Dec 19, 2021
click fraud protection

Apple의 다가오는 iOS 12 업데이트에 추가된 작은 기능 중 하나는 Security Code AutoFill을 만드는 영리한 기능입니다.

기본적으로 로그인 시 이중 인증 코드를 훨씬 쉽게 입력할 수 있는 시스템입니다.

그러나 한 보안 연구원은 보안 코드 자동 완성을 악의적인 공격자가 이용할 수 있는 잠재적인 취약점으로 보고 있습니다.

알아야 할 이유가 있습니다.

내용물

  • 보안 코드 자동 완성 iOS 12
  • 위험이 무엇인지
    • TAN이란 무엇입니까?
    • 보안 코드 자동 완성의 위험
    • 애플은 그것에 대해 무엇이든 할 수 있습니까?
  • 자신을 보호하는 방법
    • 관련 게시물:

보안 코드 자동 완성 iOS 12

보안 코드 자동 완성

이중 인증을 사용하여 계정에 로그인하려면 일반적으로 두 가지 별도의 단계가 필요하므로 이름이 필요합니다.

사용자 이름과 비밀번호를 입력하면 일회용 코드가 포함된 SMS 문자 메시지를 받게 됩니다. 해당 코드를 입력하면 자유롭게 로그인할 수 있습니다.

그러나 iOS 12는 이것을 조금 다르게 처리합니다. 이중 인증 코드(일회성 암호 또는 OTP라고도 함)를 수신하면 자동으로 감지할 수 있습니다.

관련된:

  • iOS 12 보안 기능
  • 강력한 비밀번호란 무엇입니까? 내 iPhone이 암호를 선택하는 이유는 무엇입니까?
  • 시간을 투자할 가치가 있는 상위 25개 iOS 12 기능

그러면 시스템이 해당 이름을 기록하고 한 번의 클릭으로 입력할 수 있는 옵션을 제공합니다. iOS 12에서는 "메시지에서"라는 메모와 함께 키보드 위에 옵션으로 나타납니다.

물론 앱 사이를 이동하거나 OTP를 순식간에 외울 필요가 없기 때문에 상당한 시간을 절약할 수 있습니다.

그러나 사용의 용이성은 특정 상황에서 보안 위험이 될 수 있는 이유이기도 합니다.

위험이 무엇인지

보안 코드 자동 완성

일차적으로 위험은 금융 기관에 있습니다. 보안 코드 자동 완성이 위험할 수 있는 다른 경우가 있을 수 있지만 이것이 가장 걱정스러운 시나리오입니다.

OneSpan 캠브리지 혁신 센터의 보안 연구원인 Andreas Gutmann은 다음과 같이 말했습니다. 가장 시급한 문제라고 TAN(트랜잭션 인증 번호)이라는 것을 중심으로 합니다.

TAN이란 무엇입니까?

이중 인증과 마찬가지로 TAN은 휴대전화로 전송되는 일회성 코드입니다. 그러나 TAN은 로그인을 위한 것이 아니라 금융 거래에 2FA 보호를 추가하는 방법입니다.

기본적으로 돈을 이체하거나 결제할 때 은행에서 추가 확인 단계로 TAN을 휴대전화로 전송하여 말괄량이가 진행되지 않도록 합니다.

이 TAN을 적절한 필드에 입력하면 거래가 승인됩니다. TAN을 받았지만 최근 거래가 없다면 즉시 은행에 연락해야 합니다.

미국에서는 아직 널리 보급되지 않았지만 TAN으로 보호되는 거래는 유럽 및 기타 지역에서 상당히 일반적입니다.

보안 코드 자동 완성의 위험

보안 코드 자동 완성은 메시지에서 일회용 암호를 자동으로 가져오기 때문에 모든 관련 컨텍스트를 생략합니다.

은행 업무의 경우 거래가 합법적인지 여부를 파악하는 데 금융 금액 또는 지불 대상과 같은 컨텍스트가 중요합니다.

Gutmann은 블로그 게시물에서 "사용자가 이 중요한 정보를 확인한다는 사실이 바로 보안 이점을 제공하는 것"이라고 썼습니다. "프로세스에서 그것을 제거하면 효과가 없습니다."

다시 말해, 시간을 절약해 주는 Apple의 새로운 기능은 사용자를 금융 사기나 메시지 가로채기 공격에 더 취약하게 만들 수 있습니다.

이론적으로 사용자는 사기성 금융 거래를 승인하기 위해 자동으로 OTP를 입력할 수 있습니다. 공격자는 잠재적으로 악성 웹 사이트 또는 앱을 사용하여 보안 코드 자동 완성을 스푸핑할 수 있습니다.

애플은 그것에 대해 무엇이든 할 수 있습니까?

Apple이 할 수 있는 가장 중요한 일은 2FA 요청과 TAN의 차이를 구분할 수 있는 보안 코드 자동 완성에 어떤 유형의 조치를 구현하는 것입니다.

보안 코드 자동 완성이 2FA와 TAN을 구별할 수 있는지 여부는 현재 명확하지 않습니다. 가능하다면 이 문제는 훨씬 덜 문제가 됩니다.

물론 보안 코드 자동 완성이 취약점인 것에 대해 충분한 사람들이 우려를 표명한다면 Apple은 문제를 완화하기 위해 업데이트할 수 있습니다.

자신을 보호하는 방법

보안 코드 자동 완성

우선, 당신은 ~ 아니다 모든 계정에서 이중 인증을 비활성화하십시오.

SMS 기반 2단계 인증은 가로채기나 공격을 받기 쉬운 비교적 결함이 있는 시스템이지만 암호에만 의존하는 것보다 훨씬 낫습니다.

유럽에 계시다면 가장 좋은 방법은 받는 모든 OTP 또는 2FA를 다시 확인하는 것입니다. 메시지로 넘어가 컨텍스트 정보를 확인하는 데 몇 초 밖에 걸리지 않습니다.

원본 SMS 문자 메시지를 확인하지 않고 TAN과 2FA 암호를 쉽게 구별할 수 없는 경우 특히 그렇습니다.

TAN을 사용하는 국가가 아닌 경우에도 기기로 전송되는 의심스러운 OTP를 확인하는 것이 현명할 것입니다. 적극적으로 로그인하지 않고 OTP 문자 메시지를 받은 경우 문제가 있을 수 있습니다.

또한 TAN 시스템이 미국 은행에서 보다 광범위하게 구현될 수 있는지 확인하십시오. 유럽은 최근 개인 정보 보호 및 보안 표준과 관련하여 선두를 달리고 있습니다. 가까운 장래에 미국 은행과 금융 기관에서 TAN을 채택할 가능성이 높습니다.

또한 재무 데이터 또는 로그인 정보를 다룰 때 일반적인 보안 모범 사례를 사용해야 합니다. 최고의 비밀번호와 2FA 보안도 사회 공학으로부터 당신을 보호할 수 없습니다.

마이크 - 사과
마이크 피터슨( 선임 작가 )

Mike는 캘리포니아 샌디에이고에서 온 프리랜스 저널리스트입니다.

그는 주로 Apple과 소비자 기술을 다루지만 다양한 출판물에 공공 안전, 지방 정부 및 교육에 관한 글을 쓴 경험이 있습니다.

그는 작가, 편집자, 뉴스 디자이너를 포함하여 저널리즘 분야에서 꽤 많은 모자를 썼습니다.