Hvorfor iOS 12s sikkerhetskode Autofyll er risikabelt + Hvordan beskytte deg selv

En av de mindre tilleggene i Apples kommende iOS 12-oppdatering er en smart liten som kaller sikkerhetskode Autofyll.

I utgangspunktet er det et system som gjør det mye enklere å legge inn tofaktorautentiseringskoder når du logger på.

Men for så mye som det gjør, ser en sikkerhetsforsker på Autofyll av sikkerhetskode som en potensiell sårbarhet som kan utnyttes av ondsinnede angripere.

Her er hvorfor du trenger å vite det.

Sikkerhetskode Autofyll iOS 12

Å logge på en konto med tofaktorautentisering innebærer vanligvis to separate trinn - derav navnet.

Du skriver inn brukernavn og passord, og mottar deretter en SMS-tekstmelding med en engangskode. Når du har skrevet inn den koden, står du fritt til å logge på.

Men iOS 12 håndterer dette litt annerledes. Den kan automatisk oppdage når du mottar en tofaktorautentiseringskode (også kjent som et engangspassord eller OTP).

I SLEKT:

• iOS 12 sikkerhetsfunksjoner
• Hva er sterkt passord? Hvorfor velger min iPhone passord for meg?
• Topp 25 iOS 12-funksjoner som er verdt tiden din

Systemet vil deretter logge det navnet og gi deg muligheten til å legge det inn med et enkelt klikk. I iOS 12 vil det vises som et alternativ over tastaturet med en merknad som sier at det er "Fra meldinger."

Selvfølgelig kan dette spare mye tid, da det hindrer deg fra å hoppe mellom apper eller huske OTP på et blunk.

Men brukervennligheten er også grunnen til at det kan være en sikkerhetsrisiko under visse omstendigheter.

Hva er risikoen

Primært ligger risikoen hos finansinstitusjoner. Selv om det sannsynligvis er andre tilfeller der Autofyll av sikkerhetskode kan være risikabelt, er dette det mest bekymringsfulle scenariet.

Andreas Gutmann, en sikkerhetsforsker ved OneSpans Cambridge Innovation Center, sier at det mest presserende problemet sentrerer om noe som kalles et transaksjonsautentiseringsnummer (TAN).

Hva er en TAN?

Som tofaktorautentisering er en TAN en engangskode som sendes til telefonen din. Men en TAN er ikke for å logge på – i stedet er det en måte å legge til 2FA-beskyttelse på finansielle transaksjoner.

I utgangspunktet, når du overfører penger eller foretar en betaling, vil en bank sende en TAN til telefonen din som et ekstra verifiseringstrinn for å sikre at det ikke skjer noe tull.

Du legger inn denne TAN-en i et passende felt og transaksjonen er godkjent på din side. Hvis du mottar en TAN, men du har ikke foretatt noen nylige transaksjoner, bør du kontakte banken umiddelbart.

Selv om det ikke er utbredt i USA ennå, er TAN-beskyttede transaksjoner ganske vanlige i hele Europa og andre regioner.

Risikoen med autofyll av sikkerhetskode

Siden Autofyll av sikkerhetskode automatisk henter en engangskode fra meldinger, utelater den all relevant kontekst.

For banktjenester er denne konteksten – som økonomisk beløp eller betalingsdestinasjon – avgjørende for å vite om en transaksjon er legitim.

"Det faktum at en bruker bekrefter denne fremtredende informasjonen er nettopp det som gir sikkerhetsfordelen," skrev Gutmann i et blogginnlegg. "Å fjerne det fra prosessen gjør det ineffektivt."

Med andre ord, Apples tidsbesparende nye funksjon kan potensielt gjøre brukere mer sårbare for økonomisk svindel eller man-in-the-midten-angrep.

En bruker kan teoretisk sett automatisk legge inn en OTP for å godkjenne en uredelig økonomisk transaksjon. En angriper kan potensielt forfalske en sikkerhetskode-autofyll ved hjelp av en ondsinnet nettside eller app.

Kan Apple gjøre noe med det?

Det viktigste Apple kan gjøre er å implementere en type tiltak i AutoFill for sikkerhetskode som kan se forskjellen mellom en 2FA-forespørsel og en TAN.

Det er foreløpig ikke klart om sikkerhetskode Autofyll kan skille mellom 2FA og TAN. Hvis det kan, blir dette problemet mye mindre av et problem.

Selvfølgelig, hvis nok mennesker uttrykker bekymring for at sikkerhetskode Autofyll er en sårbarhet, kan Apple oppdatere den for å redusere problemet.

Hvordan beskytte deg selv

Først av alt bør du ikke deaktiver tofaktorautentisering på noen av kontoene dine.

Mens SMS-basert tofaktorautentisering er et relativt mangelfullt system som er utsatt for avlytting eller angrep, er det mye bedre enn å bare stole på et passord.

Hvis du er i Europa, er det beste du kan gjøre å dobbeltsjekke hver eneste OTP eller 2FA du mottar. Det tar bare et par sekunder å bla over til Meldinger og bekrefte den kontekstuelle informasjonen.

Det gjelder spesielt hvis du ikke lett kan skille mellom et TAN- og et 2FA-passord uten å sjekke den originale SMS-tekstmeldingen.

Hvis du ikke er i et land som bruker TAN, er det sannsynligvis fortsatt smart å verifisere mistenkelige OTP-er som sendes til enheten din. Hvis du ikke logger på aktivt og mottar en OTP-tekstmelding, er det sannsynligvis noe galt.

Vær dessuten på utkikk etter TAN-systemer som skal implementeres bredere i amerikanske banker. Europa har i nyere tid ledet an når det gjelder personvern og sikkerhetsstandarder. Det er sannsynlig at TAN kan bli adoptert av amerikanske banker og finansinstitusjoner i nær fremtid.

Du bør også bruke gode fremgangsmåter for sikkerhet generelt når du håndterer økonomiske data eller påloggingsinformasjon. Selv det beste passordet og 2FA-sikkerheten kan ikke beskytte deg mot sosial utvikling.