Por que o preenchimento automático do código de segurança do iOS 12 é arriscado + Como se proteger

Uma das pequenas adições na próxima atualização do iOS 12 da Apple é um pequeno e inteligente que faz o chamado Preenchimento Automático do Código de Segurança.

Basicamente, é um sistema que torna muito mais fácil inserir códigos de autenticação de dois fatores ao fazer login.

Mas, por melhor que seja, um pesquisador de segurança vê o Preenchimento automático do código de segurança como uma vulnerabilidade potencial que pode ser aproveitada por invasores mal-intencionados.

É por isso que você precisa saber.

Preenchimento automático do código de segurança iOS 12

O login em uma conta com autenticação de dois fatores normalmente envolve duas etapas separadas - daí o nome.

Você digitará seu nome de usuário e senha e receberá uma mensagem de texto SMS com um código de uso único. Depois de digitar o código, você está livre para fazer o login.

Mas o iOS 12 lida com isso de maneira um pouco diferente. Ele pode detectar automaticamente quando você recebe um código de autenticação de dois fatores (também conhecido como senha única ou OTP).

RELACIONADO:

• Recursos de segurança do iOS 12
• O que é senha forte? Por que meu iPhone está escolhendo senhas para mim?
• Os 25 principais recursos do iOS 12 que valem seu tempo

O sistema irá então registrar esse nome e dar a você a opção de inseri-lo com um único clique. No iOS 12, ele aparecerá como uma opção acima do teclado com uma nota informando que é "De Mensagens".

Claro, isso pode economizar um pouco de tempo, pois evita que você precise alternar entre aplicativos ou memorizar o OTP em um piscar de olhos.

Mas a facilidade de uso também é o motivo pelo qual pode ser um risco à segurança em certas circunstâncias.

Qual é o risco

Primeiramente, o risco recai sobre as instituições financeiras. Embora haja provavelmente outros casos em que o Preenchimento automático do código de segurança possa ser arriscado, esse é o cenário mais preocupante.

Andreas Gutmann, pesquisador de segurança do Cambridge Innovation Center da OneSpan, diz que o problema mais urgente centraliza-se em algo denominado número de autenticação de transação (TAN).

O que é um TAN?

Como a autenticação de dois fatores, um TAN é um código único que é enviado para o seu telefone. Mas um TAN não é para fazer login - em vez disso, é uma maneira de adicionar proteção 2FA às transações financeiras.

Basicamente, quando você transfere dinheiro ou faz um pagamento, um banco enviará um TAN para o seu telefone como uma etapa de verificação extra para garantir que nenhuma tolice esteja acontecendo.

Você insere este TAN em um campo apropriado e a transação é aprovada por você. Se você receber um TAN, mas não tiver feito nenhuma transação recente, deve entrar em contato com seu banco imediatamente.

Embora ainda não amplamente difundidas nos EUA, as transações protegidas por TAN são bastante comuns em toda a Europa e outras regiões.

O risco com o preenchimento automático do código de segurança

Como o Preenchimento automático do código de segurança extrai automaticamente uma senha única das mensagens, ele deixa de fora todo o contexto relevante.

Para o setor bancário, esse contexto - como valor financeiro ou destino do pagamento - é fundamental para saber se uma transação é legítima.

“O fato de um usuário verificar essas informações importantes é exatamente o que fornece o benefício de segurança”, escreveu Gutmann em uma postagem no blog. “Remover isso do processo torna-o ineficaz.”

Em outras palavras, o novo recurso de economia de tempo da Apple pode tornar os usuários mais vulneráveis ​​a fraudes financeiras ou ataques man-in-the-middle.

Um usuário, teoricamente, poderia inserir automaticamente uma OTP para aprovar uma transação financeira fraudulenta. Um invasor pode falsificar um preenchimento automático do código de segurança usando um site ou aplicativo malicioso.

A Apple pode fazer alguma coisa a respeito?

A principal coisa que a Apple pode fazer é implementar algum tipo de medida no Preenchimento automático do código de segurança que pode dizer a diferença entre uma solicitação 2FA e um TAN.

Atualmente não está claro se o Preenchimento automático do código de segurança pode distinguir entre 2FA e TAN. Se puder, esse problema se tornará muito menos problemático.

Claro, se um número suficiente de pessoas expressarem preocupação sobre o Preenchimento automático do código de segurança ser uma vulnerabilidade, a Apple pode atualizá-lo para mitigar o problema.

Como se Proteger

Em primeiro lugar, você deve não desative a autenticação de dois fatores em qualquer uma de suas contas.

Embora a autenticação de dois fatores baseada em SMS seja um sistema relativamente falho, sujeito a interceptação ou ataques, é muito melhor do que apenas confiar em uma senha.

Se você estiver na Europa, a melhor coisa a fazer é verificar novamente cada OTP ou 2FA que você recebe. Leva apenas alguns segundos para passar para Mensagens e verificar as informações contextuais.

Isso é especialmente verdadeiro se você não puder distinguir prontamente entre uma senha TAN e uma senha 2FA sem verificar a mensagem de texto SMS original.

Se você não estiver em um país que usa TAN, provavelmente ainda é uma boa ideia verificar OTPs suspeitos que são enviados para seu dispositivo. Se você não estiver conectado ativamente e receber uma mensagem de texto OTP, provavelmente algo está errado.

Além disso, fique atento aos sistemas TAN a serem implementados de forma mais ampla nos bancos dos EUA. A Europa tem, nos últimos tempos, liderado o ataque quando se trata de padrões de privacidade e segurança. É provável que o TAN possa ser adotado por bancos e instituições financeiras dos EUA em um futuro próximo.

Você também deve usar as práticas recomendadas de segurança em geral ao lidar com dados financeiros ou informações de login. Mesmo a melhor senha e segurança 2FA não podem protegê-lo da engenharia social.