De ce este riscant completarea automată a codului de securitate al iOS 12 + Cum să vă protejați

Una dintre adăugările mai mici în viitoarea actualizare iOS 12 de la Apple este un mic deștept, numit Security Code AutoFill.

Practic, este un sistem care facilitează mult introducerea codurilor de autentificare cu doi factori atunci când vă conectați.

Dar, pentru atât de bine, un cercetător în securitate vede Completarea automată a codului de securitate ca pe o potențială vulnerabilitate de care ar putea fi profitată de atacatorii rău intenționați.

Iată de ce trebuie să știți.

Completare automată a codului de securitate iOS 12

Conectarea la un cont cu autentificare cu doi factori implică de obicei doi pași separați - de unde și numele.

Veți introduce numele de utilizator și parola, apoi veți primi un mesaj text SMS cu un cod de unică folosință. Odată ce ați introdus codul, sunteți liber să vă conectați.

Dar iOS 12 gestionează acest lucru puțin diferit. Poate detecta automat când primiți un cod de autentificare cu doi factori (cunoscut și sub numele de cod de acces unic sau OTP).

LEGATE DE:

• Caracteristici de securitate iOS 12
• Ce este parola puternică? De ce iPhone-ul meu alege parole pentru mine?
• Top 25 de funcții iOS 12 care merită timpul tău

Sistemul va înregistra apoi acel nume și vă va oferi opțiunea de a-l introduce cu un singur clic. În iOS 12, va apărea ca o opțiune deasupra tastaturii cu o notă care spune că este „De la mesaje”.

Desigur, acest lucru vă poate economisi destul de mult timp, deoarece vă împiedică să treceți între aplicații sau să memorați OTP-ul într-o clipită.

Dar ușurința de utilizare este și motivul pentru care ar putea fi un risc de securitate în anumite circumstanțe.

Care este riscul

În primul rând, riscul revine instituțiilor financiare. Deși există probabil alte cazuri în care completarea automată a codului de securitate ar putea fi riscantă, acesta este scenariul cel mai îngrijorător.

Andreas Gutmann, cercetător în domeniul securității la Centrul de inovare din Cambridge de la OneSpan, spune că cea mai presantă problemă se concentrează pe ceva numit număr de autentificare a tranzacției (TAN).

Ce este TAN?

La fel ca autentificarea cu doi factori, un TAN este un cod unic care este trimis pe telefon. Dar un TAN nu este pentru autentificare - în schimb, este o modalitate de a adăuga protecție 2FA tranzacțiilor financiare.

Practic, atunci când transferați bani sau efectuați o plată, o bancă va trimite un TAN pe telefonul dvs. ca pas suplimentar de verificare pentru a vă asigura că nu se întâmplă nicio prostie.

Introduceți acest TAN într-un câmp corespunzător și tranzacția este aprobată din partea dvs. Dacă primiți un TAN, dar nu ați efectuat tranzacții recente, ar trebui să vă contactați imediat banca.

Deși nu sunt încă răspândite în SUA, tranzacțiile protejate de TAN sunt destul de comune în Europa și în alte regiuni.

Riscul cu completarea automată a codului de securitate

Deoarece Completarea automată a codului de securitate extrage automat o parolă unică din mesaje, omite tot contextul relevant.

Pentru servicii bancare, contextul respectiv - cum ar fi suma financiară sau destinația plății - este esențial pentru a ști dacă o tranzacție este legitimă.

„Faptul că un utilizator verifică aceste informații importante este exact ceea ce oferă beneficiul securității”, a scris Gutmann într-o postare pe blog. „Eliminarea acestuia din proces îl face ineficient.”

Cu alte cuvinte, noua caracteristică a Apple, care economisește timp, ar putea face utilizatorii mai vulnerabili la frauda financiară sau la atacuri de tip man-in-the-middle.

Un utilizator, teoretic, ar putea introduce automat un OTP pentru a aproba o tranzacție financiară frauduloasă. Un atacator ar putea falsifica completarea automată a codului de securitate folosind un site web sau o aplicație rău intenționată.

Poate Apple să facă ceva în privința asta?

Principalul lucru pe care Apple îl poate face este să implementeze un anumit tip de măsură în Securitate Code AutoFill care poate face diferența dintre o solicitare 2FA și un TAN.

În prezent, nu este clar dacă Completarea automată a codului de securitate poate face distincția între 2FA și TAN. Dacă se poate, atunci această problemă devine mult mai puțin o problemă.

Desigur, dacă destui oameni își exprimă îngrijorarea cu privire la completarea automată a codului de securitate ca fiind o vulnerabilitate, Apple ar putea să o actualizeze pentru a atenua problema.

Cum să te protejezi

În primul rând, ar trebui nu dezactivați autentificarea cu doi factori pentru oricare dintre conturile dvs.

În timp ce autentificarea cu doi factori pe bază de SMS este un sistem relativ defectuos care este predispus la interceptări sau atacuri, este mult mai bine decât să te bazezi doar pe o parolă.

Dacă vă aflați în Europa, cel mai bun lucru pe care îl puteți face este să verificați fiecare OTP sau 2FA pe care îl primiți. Durează doar câteva secunde pentru a trece la Mesaje și a verifica informațiile contextuale.

Acest lucru este valabil mai ales dacă nu puteți distinge cu ușurință între o parolă TAN și o parolă 2FA fără a verifica mesajul text SMS original.

Dacă nu vă aflați într-o țară care utilizează TAN, probabil că este totuși inteligent să verificați OTP-urile suspecte care sunt trimise pe dispozitivul dvs. Dacă nu vă conectați activ și primiți un mesaj text OTP, atunci probabil că ceva nu este în regulă.

Mai mult, fii atent ca sistemele TAN să fie implementate mai pe scară largă în băncile din SUA. În ultimul timp, Europa a fost lider în privința standardelor de confidențialitate și securitate. Este probabil ca TAN să fie adoptat de băncile și instituțiile financiare din SUA în viitorul apropiat.

De asemenea, ar trebui să utilizați cele mai bune practici de securitate în general atunci când aveți de-a face cu date financiare sau informații de conectare. Chiar și cea mai bună parolă și securitatea 2FA nu vă pot proteja de ingineria socială.