Kāpēc iOS 12 drošības koda automātiskā aizpildīšana ir riskanta + kā pasargāt sevi

Viens no mazākajiem papildinājumiem Apple gaidāmajā iOS 12 atjauninājumā ir gudrs sīkums, kas ļauj saukt drošības koda automātisko aizpildīšanu.

Būtībā tā ir sistēma, kas ievērojami atvieglo divu faktoru autentifikācijas kodu ievadīšanu, piesakoties.

Tomēr viens drošības pētnieks drošības koda automātisko aizpildīšanu uzskata par iespējamu ievainojamību, ko var izmantot ļaunprātīgi uzbrucēji.

Lūk, kāpēc jums tas jāzina.

Drošības koda automātiskā aizpilde iOS 12

Pieteikšanās kontā ar divu faktoru autentifikāciju parasti ietver divas atsevišķas darbības — no tā izriet arī nosaukums.

Jūs ievadīsit savu lietotājvārdu un paroli, un pēc tam saņemsit SMS īsziņu ar vienreiz lietojamu kodu. Kad esat ievadījis šo kodu, varat pieteikties.

Bet iOS 12 to apstrādā nedaudz savādāk. Tas var automātiski noteikt, kad saņemat divu faktoru autentifikācijas kodu (pazīstams arī kā vienreizējs piekļuves kods vai OTP).

SAISTĪTI:

• iOS 12 drošības līdzekļi
• Kas ir spēcīga parole? Kāpēc mans iPhone izvēlas paroles manā vietā?
• 25 populārākās iOS 12 funkcijas, kas ir jūsu laika vērtas

Pēc tam sistēma reģistrēs šo nosaukumu un sniegs iespēju to ievadīt ar vienu klikšķi. Operētājsistēmā iOS 12 tā tiks parādīta kā opcija virs tastatūras ar piezīmi, ka tā ir “No ziņojumiem”.

Protams, tas var ietaupīt diezgan daudz laika, jo tas neļauj jums lēkt starp lietotnēm vai zibenīgi iegaumēt OTP.

Taču lietošanas vienkāršība ir arī iemesls, kāpēc tas var radīt drošības risku noteiktos apstākļos.

Kāds ir risks

Galvenokārt risku uzņemas finanšu iestādes. Lai gan, iespējams, ir arī citi gadījumi, kad drošības koda automātiskā aizpildīšana varētu būt riskanti, šis ir satraucošākais scenārijs.

Andreass Gūtmans, OneSpan Kembridžas inovāciju centra drošības pētnieks, saka, ka aktuālākā problēma centrējas uz kaut ko, ko sauc par darījuma autentifikācijas numuru (TAN).

Kas ir TAN?

Tāpat kā divu faktoru autentifikācija, arī TAN ir vienreizējs kods, kas tiek nosūtīts uz jūsu tālruni. Taču TAN nav paredzēts pieteikšanās, tā vietā tas ir veids, kā finanšu darījumiem pievienot 2FA aizsardzību.

Būtībā, pārskaitot naudu vai veicot maksājumu, banka nosūtīs TAN uz jūsu tālruni kā papildu verifikācijas darbību, lai nodrošinātu, ka nenotiek mānīšanās.

Jūs ievadāt šo TAN atbilstošā laukā, un darījums tiek apstiprināts jūsu pusē. Ja saņemat TAN, bet pēdējā laikā neesat veicis nevienu darījumu, jums nekavējoties jāsazinās ar savu banku.

Lai gan tie vēl nav plaši izplatīti ASV, ar TAN aizsargāti darījumi ir diezgan izplatīti visā Eiropā un citos reģionos.

Risks ar drošības koda automātisko aizpildīšanu

Tā kā drošības koda automātiskā aizpilde no ziņojumiem automātiski izvelk vienreizēju piekļuves kodu, tā atstāj visu atbilstošo kontekstu.

Attiecībā uz bankām šis konteksts, piemēram, finanšu summa vai maksājuma galamērķis, ir ļoti svarīgs, lai zinātu, vai darījums ir likumīgs.

"Tas, ka lietotājs pārbauda šo svarīgo informāciju, ir tieši tas, kas nodrošina drošības priekšrocības," emuāra ierakstā rakstīja Gūtmans. "Tā noņemšana no procesa padara to neefektīvu."

Citiem vārdiem sakot, Apple laiku taupošā jaunā funkcija potenciāli varētu padarīt lietotājus neaizsargātākus pret finanšu krāpšanu vai starpnieku uzbrukumiem.

Teorētiski lietotājs varētu automātiski ievadīt OTP, lai apstiprinātu krāpniecisku finanšu darījumu. Uzbrucējs, iespējams, var viltot drošības koda automātisko aizpildīšanu, izmantojot ļaunprātīgu vietni vai lietotni.

Vai Apple var kaut ko darīt lietas labā?

Galvenais, ko Apple varētu darīt, ir ieviest drošības koda automātiskajā aizpildīšanā kādu pasākumu, kas var noteikt atšķirību starp 2FA pieprasījumu un TAN.

Pašlaik nav skaidrs, vai drošības koda automātiskā aizpilde var atšķirt 2FA un TAN. Ja tas ir iespējams, šī problēma kļūst daudz mazāka.

Protams, ja pietiekami daudz cilvēku pauž bažas par drošības koda automātiskās aizpildes ievainojamību, Apple varētu to atjaunināt, lai mazinātu problēmu.

Kā pasargāt sevi

Pirmkārt, jums vajadzētu nē atspējojiet divu faktoru autentifikāciju jebkurā no saviem kontiem.

Lai gan uz īsziņām balstīta divu faktoru autentifikācija ir salīdzinoši kļūdaina sistēma, kas ir pakļauta pārtveršanai vai uzbrukumiem, tā ir daudz labāka nekā tikai paļaušanās uz paroli.

Ja atrodaties Eiropā, vislabākais, ko varat darīt, ir vēlreiz pārbaudīt katru saņemto OTP vai 2FA. Ir nepieciešamas tikai dažas sekundes, lai pārietu uz sadaļu Ziņojumi un pārbaudītu kontekstuālo informāciju.

Tas jo īpaši attiecas uz gadījumiem, kad nevarat viegli atšķirt TAN un 2FA piekļuves kodu, nepārbaudot sākotnējo SMS īsziņu.

Ja neatrodaties valstī, kurā tiek izmantots TAN, iespējams, joprojām ir gudri pārbaudīt aizdomīgus OTP, kas tiek nosūtīti uz jūsu ierīci. Ja jūs aktīvi nepiesakāties un saņemat OTP īsziņu, iespējams, kaut kas nav kārtībā.

Turklāt pievērsiet uzmanību TAN sistēmas plašākai ieviešanai ASV bankās. Eiropa pēdējā laikā ir izvirzījusies vadībā attiecībā uz privātuma un drošības standartiem. Visticamāk, ka tuvākajā nākotnē TAN varētu pieņemt ASV bankas un finanšu institūcijas.

Strādājot ar finanšu datiem vai pieteikšanās informāciju, jums vajadzētu arī izmantot drošības paraugpraksi kopumā. Pat labākā parole un 2FA drošība nevar pasargāt jūs no sociālās inženierijas.