Prečo je automatické dopĺňanie bezpečnostného kódu iOS 12 riskantné + Ako sa chrániť

Jedným z menších prírastkov v pripravovanej aktualizácii Apple iOS 12 je šikovná maličkosť, ktorá sa nazýva Automatické dopĺňanie bezpečnostného kódu.

V podstate ide o systém, ktorý značne uľahčuje zadávanie dvojfaktorových autentifikačných kódov pri prihlasovaní.

Jeden bezpečnostný výskumník však vidí automatické dopĺňanie bezpečnostných kódov ako potenciálnu zraniteľnosť, ktorú by mohli zneužiť zákerní útočníci.

Tu je dôvod, prečo to potrebujete vedieť.

Automatické dopĺňanie bezpečnostného kódu iOS 12

Prihlásenie do účtu s dvojfaktorovou autentifikáciou zvyčajne zahŕňa dva samostatné kroky – odtiaľ názov.

Zadáte svoje používateľské meno a heslo a potom dostanete SMS správu s jednorazovým kódom. Po zadaní tohto kódu sa môžete prihlásiť.

iOS 12 to však rieši trochu inak. Dokáže automaticky zistiť, kedy dostanete dvojfaktorový overovací kód (známy aj ako jednorazový prístupový kód alebo OTP).

SÚVISIACE:

• Funkcie zabezpečenia iOS 12
• Čo je silné heslo? Prečo môj iPhone vyberá heslá za mňa?
• 25 najlepších funkcií systému iOS 12, ktoré stoja za váš čas

Systém potom zaznamená toto meno a dá vám možnosť zadať ho jediným kliknutím. V systéme iOS 12 sa zobrazí ako možnosť nad klávesnicou s poznámkou, že ide o „Zo správ“.

Samozrejme, môže to ušetriť dosť času, pretože vám to zabráni preskakovať medzi aplikáciami alebo si rýchlo zapamätať OTP.

Ale jednoduchosť použitia je tiež dôvodom, prečo by za určitých okolností mohlo predstavovať bezpečnostné riziko.

Aké je riziko

Riziko spočíva predovšetkým vo finančných inštitúciách. Hoci pravdepodobne existujú aj iné prípady, kedy môže byť automatické dopĺňanie bezpečnostného kódu riskantné, toto je najznepokojujúcejší scenár.

Andreas Gutmann, bezpečnostný výskumník z OneSpan’s Cambridge Innovation Center, hovorí, že najpálčivejším problémom sa sústreďuje na niečo, čo sa nazýva transakčné overovacie číslo (TAN).

čo je TAN?

Podobne ako dvojfaktorové overenie, aj TAN je jednorazový kód, ktorý sa odošle do vášho telefónu. Ale TAN nie je na prihlásenie – namiesto toho je to spôsob pridania 2FA ochrany k finančným transakciám.

V zásade platí, že keď prevádzate peniaze alebo uskutočňujete platbu, banka odošle na váš telefón TAN ako dodatočný overovací krok, aby sa zaistilo, že nedôjde k podvodom.

Toto číslo TAN zadáte do príslušného poľa a transakcia bude na vašej strane schválená. Ak dostanete TAN, ale neuskutočnili ste žiadne nedávne transakcie, mali by ste okamžite kontaktovať svoju banku.

Hoci v USA ešte nie sú rozšírené, transakcie chránené TAN sú pomerne bežné v celej Európe a iných regiónoch.

Riziko s automatickým dopĺňaním bezpečnostného kódu

Keďže automatické dopĺňanie bezpečnostného kódu automaticky vyberá zo správ jednorazový prístupový kód, vynecháva všetky relevantné súvislosti.

Pre bankovníctvo je tento kontext – napríklad finančná čiastka alebo miesto určenia platby – rozhodujúci pre zistenie, či je transakcia legitímna.

„Skutočnosť, že používateľ overí tieto dôležité informácie, je presne to, čo poskytuje výhodu zabezpečenia,“ napísal Gutmann v blogovom príspevku. "Odstránením z procesu sa stane neúčinným."

Inými slovami, nová funkcia spoločnosti Apple, ktorá šetrí čas, by mohla potenciálne zvýšiť zraniteľnosť používateľov voči finančným podvodom alebo útokom typu man-in-the-middle.

Používateľ by teoreticky mohol automaticky zadať jednorazové heslo na schválenie podvodnej finančnej transakcie. Útočník by mohol potenciálne sfalšovať automatické dopĺňanie bezpečnostného kódu pomocou škodlivého webu alebo aplikácie.

Môže s tým Apple niečo urobiť?

Hlavná vec, ktorú by Apple mohol urobiť, je implementovať nejaký typ opatrenia do automatického dopĺňania bezpečnostného kódu, ktoré dokáže rozlíšiť medzi požiadavkou 2FA a TAN.

Momentálne nie je jasné, či automatické dopĺňanie bezpečnostného kódu dokáže rozlíšiť medzi 2FA a TAN. Ak je to možné, potom sa tento problém stane oveľa menším problémom.

Samozrejme, ak dostatok ľudí vyjadrí obavy, že automatické dopĺňanie bezpečnostného kódu je zraniteľnosťou, Apple by ho mohol aktualizovať, aby sa problém zmiernil.

Ako sa chrániť

V prvom rade by ste mali nie zakázať dvojfaktorové overenie na ktoromkoľvek z vašich účtov.

Zatiaľ čo dvojfaktorová autentifikácia založená na SMS je relatívne chybný systém, ktorý je náchylný na zachytenie alebo útoky, je to oveľa lepšie ako spoliehať sa len na heslo.

Ak ste v Európe, najlepšie, čo môžete urobiť, je skontrolovať každé jedno OTP alebo 2FA, ktoré dostanete. Prepnutie na Správy a overenie kontextových informácií trvá len niekoľko sekúnd.

To platí najmä vtedy, ak nemôžete ľahko rozlíšiť medzi prístupovým kódom TAN a 2FA bez toho, aby ste skontrolovali pôvodnú textovú správu SMS.

Ak sa nenachádzate v krajine, ktorá používa TAN, pravdepodobne je stále rozumné overiť si podozrivé jednorazové heslo, ktoré sa odosielajú do vášho zariadenia. Ak sa aktívne neprihlasujete a dostanete textovú správu OTP, pravdepodobne nie je niečo v poriadku.

Okrem toho dávajte pozor na systémy TAN, ktoré sa majú v bankách v USA implementovať širšie. Európa má v poslednom čase vedúcu úlohu, pokiaľ ide o súkromie a bezpečnostné normy. Je pravdepodobné, že TAN by mohli v blízkej budúcnosti prijať americké banky a finančné inštitúcie.

Pri práci s finančnými údajmi alebo prihlasovacími údajmi by ste tiež mali vo všeobecnosti používať osvedčené bezpečnostné postupy. Ani najlepšie heslo a zabezpečenie 2FA vás nemôžu ochrániť pred sociálnym inžinierstvom.