Eden od manjših dodatkov v prihajajoči Applovi posodobitvi za iOS 12 je pametna malenkost, ki omogoča samodejno izpolnjevanje varnostne kode.
V bistvu je to sistem, ki zelo olajša vnos dvofaktorskih kod za preverjanje pristnosti ob prijavi.
Vendar pa en varnostni raziskovalec vidi samodejno izpolnjevanje varnostne kode kot potencialno ranljivost, ki bi jo lahko izkoristili zlonamerni napadalci.
Tukaj je razlog, zakaj morate vedeti.
Vsebina
- Varnostna koda AutoFill iOS 12
-
Kaj je tveganje
- Kaj je TAN?
- Tveganje s samodejnim izpolnjevanjem varnostne kode
- Ali lahko Apple kaj stori glede tega?
-
Kako se zaščititi
- Povezane objave:
Varnostna koda AutoFill iOS 12
Prijava v račun z dvofaktorsko avtentikacijo običajno vključuje dva ločena koraka - od tod tudi ime.
Vnesli boste svoje uporabniško ime in geslo, nato pa prejeli SMS sporočilo z enkratno kodo. Ko vnesete to kodo, se lahko prijavite.
Toda iOS 12 to obravnava nekoliko drugače. Lahko samodejno zazna, ko prejmete dvofaktorsko kodo za preverjanje pristnosti (znano tudi kot enkratno geslo ali OTP).
POVEZANO:
- Varnostne funkcije iOS 12
- Kaj je močno geslo? Zakaj moj iPhone izbira gesla zame?
- 25 najboljših funkcij iOS 12, ki so vredne vašega časa
Sistem bo nato zabeležil to ime in vam dal možnost, da ga vnesete z enim klikom. V iOS 12 se bo prikazal kot možnost nad tipkovnico z opombo, da je »Iz sporočil«.
Seveda lahko s tem prihranite kar nekaj časa, saj vam prepreči, da bi morali skakati med aplikacijami ali si hitro zapomniti OTP.
Toda zaradi enostavne uporabe je lahko v določenih okoliščinah tudi varnostno tveganje.
Kaj je tveganje
Tveganje so predvsem finančne institucije. Čeprav so verjetno tudi drugi primeri, ko je samodejno izpolnjevanje varnostne kode lahko tvegano, je to najbolj zaskrbljujoč scenarij.
Andreas Gutmann, varnostni raziskovalec v OneSpan's Cambridge Innovation Center, pravi, da je najbolj pereč problem se osredotoča na nekaj, kar se imenuje številka za preverjanje pristnosti transakcije (TAN).
Kaj je TAN?
Tako kot dvofaktorska avtentikacija je TAN enkratna koda, ki se pošlje v vaš telefon. Toda TAN ni za prijavo - namesto tega je način dodajanja zaščite 2FA finančnim transakcijam.
V bistvu bo banka, ko nakažete denar ali izvedete plačilo, na vaš telefon poslala TAN kot dodaten korak za preverjanje, da se zagotovi, da se ne dogaja norost.
Ta TAN vnesete v ustrezno polje in transakcija je na vaši strani odobrena. Če prejmete TAN, vendar niste opravili nobene nedavne transakcije, se morate nemudoma obrniti na svojo banko.
Čeprav v ZDA še niso zelo razširjene, so transakcije, zaščitene s TAN, precej pogoste po vsej Evropi in drugih regijah.
Tveganje s samodejnim izpolnjevanjem varnostne kode
Ker samodejno izpolnjevanje varnostne kode samodejno izvleče enkratno geslo iz sporočil, izpusti ves ustrezen kontekst.
Za bančništvo je ta kontekst – kot je finančni znesek ali destinacija plačila – ključnega pomena za vedeti, ali je transakcija legitimna.
"Dejstvo, da uporabnik preveri te pomembne informacije, je prav tisto, kar zagotavlja varnostne prednosti," je Gutmann zapisal v objavi na blogu. "Če to odstranite iz procesa, postane neučinkovit."
Z drugimi besedami, Applova nova funkcija, ki prihrani čas, bi lahko naredila uporabnike bolj ranljive za finančne goljufije ali napade človeka v sredini.
Uporabnik bi teoretično lahko samodejno vnesel OTP za odobritev goljufive finančne transakcije. Napadalec bi lahko z zlonamernim spletnim mestom ali aplikacijo ponaredil samodejno izpolnjevanje varnostne kode.
Ali lahko Apple kaj stori glede tega?
Glavna stvar, ki bi jo lahko naredil Apple, je uvedba neke vrste ukrepa v samodejno izpolnjevanje varnostne kode, ki lahko pove razliko med zahtevo 2FA in TAN.
Trenutno ni jasno, ali lahko samodejno izpolnjevanje varnostne kode razlikuje med 2FA in TAN. Če je mogoče, potem ta težava postane veliko manjša.
Seveda, če dovolj ljudi izrazi zaskrbljenost, da je samodejno izpolnjevanje varnostne kode ranljivost, bi jo lahko Apple posodobil, da bi ublažil težavo.
Kako se zaščititi
Najprej bi morali ne onemogočite dvofaktorsko preverjanje pristnosti na katerem koli od svojih računov.
Čeprav je dvofaktorska avtentikacija, ki temelji na SMS-ju, razmeroma napačen sistem, ki je nagnjen k prestrezanju ali napadom, je veliko bolje kot le zanašanje na geslo.
Če ste v Evropi, je najboljše, kar lahko storite, da še enkrat preverite vsak posamezen OTP ali 2FA, ki ga prejmete. Traja le nekaj sekund, da se obrnete na Sporočila in preverite kontekstualne informacije.
To še posebej velja, če ne morete zlahka razlikovati med TAN in geslom 2FA, ne da bi preverili izvirno besedilno sporočilo SMS.
Če niste v državi, ki uporablja TAN, je verjetno še vedno pametno preveriti sumljive OTP-je, ki so poslani v vašo napravo. Če se ne prijavljate aktivno in prejmete besedilno sporočilo OTP, je verjetno nekaj narobe.
Poleg tega bodite pozorni na sisteme TAN, ki se bodo širše izvajali v bankah ZDA. Evropa je v zadnjem času vodilna, ko gre za standarde zasebnosti in varnosti. Verjetno bi TAN lahko sprejele ameriške banke in finančne institucije v bližnji prihodnosti.
Pri delu s finančnimi podatki ali podatki za prijavo morate uporabiti tudi najboljše varnostne prakse na splošno. Tudi najboljše geslo in varnost 2FA vas ne moreta zaščititi pred socialnim inženiringom.
Mike je samostojni novinar iz San Diega v Kaliforniji.
Čeprav pokriva predvsem Apple in potrošniško tehnologijo, ima pretekle izkušnje s pisanjem o javni varnosti, lokalni vladi in izobraževanju za različne publikacije.
Na novinarskem področju je nosil kar nekaj klobukov, vključno s pisateljem, urednikom in oblikovalcem novic.