Почему автозаполнение кода безопасности iOS 12 опасно + как защитить себя

Одно из небольших дополнений в грядущем обновлении iOS 12 от Apple - это небольшая хитрость, которая называется автозаполнением кода безопасности.

По сути, это система, которая значительно упрощает ввод кодов двухфакторной аутентификации при входе в систему.

Но что бы ни было полезно, один исследователь безопасности видит в автозаполнении кода безопасности потенциальную уязвимость, которой могут воспользоваться злоумышленники.

Вот почему вам нужно знать.

Автозаполнение кода безопасности iOS 12

Вход в учетную запись с двухфакторной аутентификацией обычно включает два отдельных шага - отсюда и название.

Вы введете свое имя пользователя и пароль, а затем получите текстовое SMS-сообщение с одноразовым кодом. После того, как вы введете этот код, вы сможете войти в систему.

Но iOS 12 справляется с этим немного иначе. Он может автоматически определять, когда вы получаете код двухфакторной аутентификации (также известный как одноразовый пароль или OTP).

СВЯЗАННЫЕ С:

• Функции безопасности iOS 12
• Что такое надежный пароль? Почему мой iPhone выбирает пароли за меня?
• 25 лучших функций iOS 12, которые стоят вашего времени

Затем система зарегистрирует это имя и предоставит вам возможность ввести его одним щелчком мыши. В iOS 12 он будет отображаться как опция над клавиатурой с пометкой «Из сообщений».

Конечно, это может сэкономить немало времени, поскольку избавит вас от необходимости переключаться между приложениями или мгновенно запоминать одноразовый пароль.

Но простота использования также является причиной того, что при определенных обстоятельствах это может быть угрозой безопасности.

Что такое риск

В первую очередь риск лежит в финансовых учреждениях. Хотя возможны и другие случаи, когда автозаполнение кода безопасности может быть рискованным, это наиболее тревожный сценарий.

Андреас Гутманн, исследователь безопасности из Кембриджского инновационного центра OneSpan, говорит, что самая насущная проблема сосредотачивается на так называемом номере аутентификации транзакции (TAN).

Что такое TAN?

Как и двухфакторная аутентификация, TAN - это одноразовый код, который отправляется на ваш телефон. Но TAN не предназначен для входа в систему - это способ добавить защиту 2FA к финансовым транзакциям.

Обычно, когда вы переводите деньги или совершаете платеж, банк отправляет на ваш телефон TAN в качестве дополнительного шага проверки, чтобы гарантировать отсутствие дурачества.

Вы вводите этот TAN в соответствующее поле, и транзакция утверждается на вашей стороне. Если вы получили номер TAN, но в последнее время не совершали никаких транзакций, вы должны немедленно связаться с банком.

Хотя транзакции, защищенные TAN, пока еще не получили широкого распространения в США, они довольно распространены в Европе и других регионах.

Риск автозаполнения кода безопасности

Поскольку автозаполнение кода безопасности автоматически извлекает одноразовый код доступа из сообщений, он не учитывает весь соответствующий контекст.

Для банковского дела этот контекст - например, финансовая сумма или место назначения платежа - имеет решающее значение для определения законности транзакции.

«Тот факт, что пользователь проверяет эту важную информацию, обеспечивает безопасность», - написал Гутманн в своем блоге. «Удаление этого из процесса делает его неэффективным».

Другими словами, новая функция Apple, позволяющая сэкономить время, потенциально может сделать пользователей более уязвимыми для финансового мошенничества или атак типа «злоумышленник в середине».

Теоретически пользователь может автоматически вводить одноразовый пароль для подтверждения мошеннической финансовой транзакции. Злоумышленник может подделать автозаполнение кода безопасности с помощью вредоносного веб-сайта или приложения.

Может ли Apple что-нибудь с этим сделать?

Главное, что могла бы сделать Apple, - это реализовать в автозаполнении кода безопасности некоторую меру, которая может определить разницу между запросом 2FA и TAN.

В настоящее время неясно, может ли функция автозаполнения кода безопасности различать двухфакторную аутентификацию и TAN. Если это возможно, тогда этот вопрос станет гораздо менее серьезной проблемой.

Конечно, если достаточное количество людей выразят обеспокоенность по поводу того, что автозаполнение кода безопасности является уязвимостью, Apple может обновить его, чтобы смягчить проблему.

Как защитить себя

Прежде всего, вам следует нет отключите двухфакторную аутентификацию на любой из ваших учетных записей.

Хотя двухфакторная аутентификация на основе SMS - это относительно несовершенная система, склонная к перехвату или атакам, это намного лучше, чем просто полагаться на пароль.

Если вы находитесь в Европе, лучшее, что вы можете сделать, - это перепроверить каждый полученный OTP или 2FA. Чтобы перейти к сообщениям и проверить контекстную информацию, требуется всего пара секунд.

Это особенно верно, если вы не можете легко отличить TAN от кода доступа 2FA, не проверив исходное текстовое сообщение SMS.

Если вы находитесь за пределами страны, в которой используется TAN, вероятно, будет разумно проверять подозрительные одноразовые пароли, отправленные на ваше устройство. Если вы не входите в систему и получаете текстовое сообщение OTP, то, вероятно, что-то не так.

Кроме того, будьте готовы к более широкому внедрению систем TAN в банках США. В последнее время Европа лидирует в вопросах стандартов конфиденциальности и безопасности. Вполне вероятно, что в ближайшем будущем TAN могут быть приняты банками и финансовыми учреждениями США.

Вы также должны использовать общие передовые методы безопасности при работе с финансовыми данными или данными для входа. Даже самый лучший пароль и двухфакторная аутентификация не защитят вас от социальной инженерии.