Dlaczego autouzupełnianie kodu bezpieczeństwa w iOS 12 jest ryzykowne + Jak się chronić?

Jednym z mniejszych dodatków w nadchodzącej aktualizacji Apple iOS 12 jest sprytny mały, który nazywa się autouzupełnianie kodu bezpieczeństwa.

Zasadniczo jest to system, który znacznie ułatwia wprowadzanie kodów uwierzytelniania dwuskładnikowego podczas logowania.

Jednak mimo to, jeden z badaczy bezpieczeństwa postrzega funkcję automatycznego wypełniania kodu bezpieczeństwa jako potencjalną lukę, która może zostać wykorzystana przez złośliwych napastników.

Oto dlaczego musisz wiedzieć.

Kod zabezpieczający Autouzupełnianie iOS 12

Logowanie na konto z uwierzytelnianiem dwuskładnikowym zazwyczaj obejmuje dwa oddzielne kroki — stąd nazwa.

Wprowadzisz swoją nazwę użytkownika i hasło, a następnie otrzymasz SMS-a z jednorazowym kodem. Po wpisaniu tego kodu możesz się zalogować.

Ale iOS 12 radzi sobie z tym nieco inaczej. Może automatycznie wykryć, kiedy otrzymasz dwuskładnikowy kod uwierzytelniający (znany również jako jednorazowy kod dostępu lub OTP).

ZWIĄZANE Z:

• Funkcje bezpieczeństwa iOS 12
• Co to jest silne hasło? Dlaczego mój iPhone wybiera dla mnie hasła?
• 25 najważniejszych funkcji iOS 12, które są warte Twojego czasu

System zarejestruje następnie tę nazwę i umożliwi wprowadzenie jej jednym kliknięciem. W iOS 12 pojawi się jako opcja nad klawiaturą z notatką informującą, że jest to "Z wiadomości".

Oczywiście może to zaoszczędzić sporo czasu, ponieważ nie trzeba przeskakiwać między aplikacjami lub zapamiętywać OTP w mgnieniu oka.

Ale łatwość użycia jest również powodem, dla którego w pewnych okolicznościach może to stanowić zagrożenie dla bezpieczeństwa.

Jakie jest ryzyko

Przede wszystkim ryzyko spoczywa na instytucjach finansowych. Chociaż prawdopodobnie istnieją inne przypadki, w których autouzupełnianie kodu bezpieczeństwa może być ryzykowne, jest to najbardziej niepokojący scenariusz.

Andreas Gutmann, badacz bezpieczeństwa w OneSpan’s Cambridge Innovation Center, mówi, że najbardziej palący problem skupia się na czymś, co nazywa się numerem uwierzytelniania transakcji (TAN).

Co to jest TAN?

Podobnie jak uwierzytelnianie dwuskładnikowe, TAN to jednorazowy kod wysyłany na Twój telefon. Ale TAN nie służy do logowania — zamiast tego jest sposobem na dodanie ochrony 2FA do transakcji finansowych.

Zasadniczo, gdy przesyłasz pieniądze lub dokonujesz płatności, bank wyśle ​​TAN na Twój telefon jako dodatkowy krok weryfikacji, aby upewnić się, że nie dzieje się wygłup.

Wprowadź ten TAN w odpowiednim polu, a transakcja zostanie zatwierdzona po Twojej stronie. Jeśli otrzymasz TAN, ale nie dokonałeś żadnych ostatnich transakcji, powinieneś natychmiast skontaktować się ze swoim bankiem.

Chociaż transakcje chronione kodem TAN nie są jeszcze dość rozpowszechnione w Stanach Zjednoczonych, są dość powszechne w całej Europie i innych regionach.

Ryzyko z autouzupełnianiem kodu bezpieczeństwa

Ponieważ autouzupełnianie kodu bezpieczeństwa automatycznie pobiera jednorazowy kod dostępu z wiadomości, pomija cały istotny kontekst.

W przypadku bankowości ten kontekst — na przykład kwota finansowa lub miejsce docelowe płatności — ma kluczowe znaczenie dla ustalenia, czy transakcja jest legalna.

„Fakt, że użytkownik weryfikuje te istotne informacje, jest dokładnie tym, co zapewnia korzyści w zakresie bezpieczeństwa” – napisał Gutmann w poście na blogu. „Usunięcie tego z procesu czyni go nieskutecznym”.

Innymi słowy, oszczędzająca czas nowa funkcja Apple może potencjalnie narazić użytkowników na oszustwa finansowe lub ataki typu man-in-the-middle.

Teoretycznie użytkownik mógłby automatycznie wprowadzić hasło jednorazowe, aby zatwierdzić oszukańczą transakcję finansową. Osoba atakująca może potencjalnie sfałszować autouzupełnianie kodu bezpieczeństwa za pomocą złośliwej witryny lub aplikacji.

Czy Apple może coś z tym zrobić?

Najważniejszą rzeczą, jaką Apple może zrobić, jest zaimplementowanie pewnego rodzaju środka w automatycznym wypełnianiu kodu bezpieczeństwa, który może odróżnić żądanie 2FA od TAN.

Obecnie nie jest jasne, czy autouzupełnianie kodu zabezpieczającego może odróżnić 2FA od TAN. Jeśli tak, to ten problem staje się znacznie mniejszym problemem.

Oczywiście, jeśli wystarczająca liczba osób wyrazi obawy, że autouzupełnianie kodu bezpieczeństwa jest luką, Apple może go zaktualizować, aby złagodzić problem.

Jak się chronić

Przede wszystkim powinieneś nie wyłącz uwierzytelnianie dwuskładnikowe na dowolnym koncie.

Chociaż uwierzytelnianie dwuskładnikowe oparte na SMS-ach jest stosunkowo wadliwym systemem, który jest podatny na przechwycenie lub ataki, jest o wiele lepsze niż poleganie na haśle.

Jeśli jesteś w Europie, najlepszą rzeczą, jaką możesz zrobić, jest podwójne sprawdzenie każdego otrzymanego OTP lub 2FA. Przejście do Wiadomości i weryfikacja informacji kontekstowych zajmuje tylko kilka sekund.

Jest to szczególnie ważne, jeśli nie możesz łatwo odróżnić kodu TAN od kodu 2FA bez sprawdzenia oryginalnej wiadomości tekstowej SMS.

Jeśli nie znajdujesz się w kraju, w którym używa się TAN, prawdopodobnie warto zweryfikować podejrzane hasła OTP wysyłane na Twoje urządzenie. Jeśli nie logujesz się aktywnie i otrzymujesz wiadomość tekstową OTP, prawdopodobnie coś jest nie w porządku.

Ponadto należy rozglądać się za wprowadzeniem systemów TAN na szerszą skalę w amerykańskich bankach. W ostatnim czasie Europa przewodzi w kwestii standardów prywatności i bezpieczeństwa. Jest prawdopodobne, że TAN może zostać przyjęty przez amerykańskie banki i instytucje finansowe w najbliższej przyszłości.

W przypadku danych finansowych lub danych logowania należy również ogólnie stosować najlepsze praktyki w zakresie bezpieczeństwa. Nawet najlepsze hasło i zabezpieczenia 2FA nie chronią Cię przed socjotechniką.