Een van de kleinere toevoegingen in de aankomende iOS 12-update van Apple is een slim kleintje dat Security Code AutoFill heet.
Kortom, het is een systeem dat het invoeren van tweefactorauthenticatiecodes bij het inloggen een stuk eenvoudiger maakt.
Maar voor zoveel goeds als het doet, ziet een beveiligingsonderzoeker Security Code AutoFill als een potentiële kwetsbaarheid waarvan kwaadwillende aanvallers misbruik kunnen maken.
Dit is waarom je het moet weten.
Inhoud
- Beveiligingscode Automatisch aanvullen iOS 12
-
Wat het risico is?
- Wat is een TAN?
- Het risico met automatisch aanvullen van beveiligingscode
- Kan Apple er iets aan doen?
-
Hoe u uzelf kunt beschermen?
- Gerelateerde berichten:
Beveiligingscode Automatisch aanvullen iOS 12
Inloggen op een account met tweefactorauthenticatie omvat meestal twee afzonderlijke stappen - vandaar de naam.
U voert uw gebruikersnaam en wachtwoord in en ontvangt vervolgens een sms-bericht met een eenmalige code. Nadat u die code heeft ingevoerd, kunt u inloggen.
Maar iOS 12 behandelt dit een beetje anders. Het kan automatisch detecteren wanneer u een tweefactorauthenticatiecode ontvangt (ook bekend als een eenmalige toegangscode of OTP).
VERWANT:
- iOS 12-beveiligingsfuncties
- Wat is een sterk wachtwoord? Waarom kiest mijn iPhone wachtwoorden voor mij?
- Top 25 iOS 12-functies die uw tijd waard zijn
Het systeem logt dan die naam en geeft u de mogelijkheid om deze met een enkele klik in te voeren. In iOS 12 verschijnt het als een optie boven het toetsenbord met een opmerking dat het "Van Berichten" is.
Dit kan natuurlijk behoorlijk wat tijd besparen, omdat u hierdoor niet tussen apps hoeft te springen of de OTP in een flits hoeft te onthouden.
Maar het gebruiksgemak is ook de reden waarom het in bepaalde omstandigheden een veiligheidsrisico kan zijn.
Wat het risico is?
Het risico ligt in de eerste plaats bij financiële instellingen. Hoewel er waarschijnlijk andere gevallen zijn waarin Automatisch aanvullen van beveiligingscodes riskant kan zijn, is dit het meest zorgwekkende scenario.
Andreas Gutmann, een beveiligingsonderzoeker bij het Cambridge Innovation Center van OneSpan, zegt dat het meest urgente probleem draait om iets dat een transactie-authenticatienummer (TAN) wordt genoemd.
Wat is een TAN?
Net als tweefactorauthenticatie is een TAN een eenmalige code die naar uw telefoon wordt verzonden. Maar een TAN is niet om in te loggen - in plaats daarvan is het een manier om 2FA-bescherming toe te voegen aan financiële transacties.
Kortom, wanneer u geld overmaakt of een betaling doet, stuurt een bank een TAN naar uw telefoon als extra verificatiestap om ervoor te zorgen dat er geen onzin aan de hand is.
U voert deze TAN in een geschikt veld in en de transactie wordt aan uw kant goedgekeurd. Als u een TAN ontvangt maar geen recente transacties heeft gedaan, dient u onmiddellijk contact op te nemen met uw bank.
Hoewel het nog niet wijdverbreid is in de VS, zijn TAN-beschermde transacties vrij gebruikelijk in heel Europa en andere regio's.
Het risico met automatisch aanvullen van beveiligingscode
Omdat automatisch aanvullen met beveiligingscode automatisch een eenmalige toegangscode uit berichten haalt, wordt alle relevante context weggelaten.
Voor bankieren is die context, zoals het financiële bedrag of de betalingsbestemming, van cruciaal belang om te weten of een transactie legitiem is.
"Het feit dat een gebruiker deze opvallende informatie verifieert, is precies wat het beveiligingsvoordeel oplevert", schreef Gutmann in een blogpost. "Als je dat uit het proces verwijdert, wordt het ineffectief."
Met andere woorden, de tijdbesparende nieuwe functie van Apple zou gebruikers mogelijk kwetsbaarder kunnen maken voor financiële fraude of man-in-the-middle-aanvallen.
Een gebruiker zou in theorie automatisch een OTP kunnen invoeren om een frauduleuze financiële transactie goed te keuren. Een aanvaller kan een beveiligingscode automatisch aanvullen mogelijk vervalsen met behulp van een kwaadwillende website of app.
Kan Apple er iets aan doen?
Het belangrijkste dat Apple zou kunnen doen, is een of andere maatregel in Security Code AutoFill implementeren die het verschil kan zien tussen een 2FA-verzoek en een TAN.
Het is momenteel niet duidelijk of Security Code AutoFill onderscheid kan maken tussen 2FA en TAN. Als het kan, wordt dit probleem veel minder een probleem.
Natuurlijk, als genoeg mensen hun bezorgdheid uiten over het feit dat automatisch aanvullen van beveiligingscode een kwetsbaarheid is, kan Apple deze updaten om het probleem te verhelpen.
Hoe u uzelf kunt beschermen?
Allereerst moet je niet schakel tweefactorauthenticatie uit voor al uw accounts.
Hoewel op sms gebaseerde tweefactorauthenticatie een relatief gebrekkig systeem is dat vatbaar is voor onderschepping of aanvallen, is het een stuk beter dan alleen op een wachtwoord te vertrouwen.
Als u zich in Europa bevindt, kunt u het beste elke afzonderlijke OTP of 2FA die u ontvangt nogmaals controleren. Het duurt maar een paar seconden om naar Berichten te gaan en de contextuele informatie te verifiëren.
Dat is vooral het geval als u niet gemakkelijk onderscheid kunt maken tussen een TAN- en een 2FA-toegangscode zonder het originele sms-bericht te controleren.
Als u zich niet in een land bevindt dat TAN gebruikt, is het waarschijnlijk nog steeds slim om verdachte OTP's te verifiëren die naar uw apparaat worden verzonden. Als je niet actief inlogt en je ontvangt een OTP-sms-bericht, dan is er waarschijnlijk iets mis.
Wees bovendien op zoek naar TAN-systemen die breder worden geïmplementeerd in Amerikaanse banken. Europa heeft de laatste tijd het voortouw genomen als het gaat om privacy- en veiligheidsnormen. Het is waarschijnlijk dat TAN in de nabije toekomst door Amerikaanse banken en financiële instellingen kan worden overgenomen.
Gebruik ook best practices op het gebied van beveiliging in het algemeen bij het omgaan met financiële gegevens of inloggegevens. Zelfs het beste wachtwoord en 2FA-beveiliging kunnen u niet beschermen tegen social engineering.
Mike is een freelance journalist uit San Diego, Californië.
Hoewel hij voornamelijk Apple en consumententechnologie behandelt, heeft hij in het verleden ervaring met schrijven over openbare veiligheid, lokale overheid en onderwijs voor verschillende publicaties.
Hij heeft nogal wat hoeden gedragen in de journalistiek, waaronder schrijver, redacteur en nieuwsontwerper.