Један од мањих додатака у Аппле-овом предстојећем ажурирању за иОС 12 је паметна мала која чини аутоматско попуњавање безбедносног кода.
У основи, то је систем који увелико олакшава уношење двофакторских кодова за аутентификацију приликом пријављивања.
Али колико год да је добро, један истраживач безбедности види аутоматско попуњавање безбедносног кода као потенцијалну рањивост коју би злонамерни нападачи могли да искористе.
Ево зашто треба да знате.
Садржај
- Аутоматско попуњавање безбедносног кода иОС 12
-
Шта је ризик
- Шта је ТАН?
- Ризик са аутоматским попуњавањем безбедносног кода
- Може ли Аппле било шта да уради у вези с тим?
-
Како се заштитити
- Повезани постови:
Аутоматско попуњавање безбедносног кода иОС 12
Пријављивање на налог са двофакторском аутентификацијом обично укључује два одвојена корака — отуда и назив.
Унећете своје корисничко име и лозинку, а затим ћете добити СМС текстуалну поруку са кодом за једнократну употребу. Када унесете тај код, слободни сте да се пријавите.
Али иОС 12 ово решава мало другачије. Може аутоматски да открије када примите двофакторни код за аутентификацију (познат и као једнократна лозинка или ОТП).
ПОВЕЗАН:
- Сигурносне функције иОС 12
- Шта је јака лозинка? Зашто мој иПхоне бира лозинке за мене?
- 25 најбољих функција иОС 12 које су вредне вашег времена
Систем ће затим евидентирати то име и дати вам могућност да га унесете једним кликом. У иОС-у 12, појавиће се као опција изнад тастатуре са напоменом да је „Из порука“.
Наравно, ово може уштедети доста времена јер вас спречава да скачете између апликација или да памтите ОТП у трену.
Али једноставност употребе је такође разлог зашто би то у одређеним околностима могло представљати безбедносни ризик.
Шта је ризик
Прије свега, ризик лежи у финансијским институцијама. Иако постоје вероватно други случајеви када би аутоматско попуњавање безбедносног кода могло бити ризично, ово је сценарио који највише забрињава.
Андреас Гутманн, истраживач сигурности у ОнеСпан-овом Кембриџ центру за иновације, каже да је најхитнији проблем усредсређује се на нешто што се зове број за аутентификацију трансакције (ТАН).
Шта је ТАН?
Попут двофакторске аутентификације, ТАН је једнократни код који се шаље на ваш телефон. Али ТАН није за пријављивање – уместо тога, то је начин додавања 2ФА заштите финансијским трансакцијама.
У суштини, када пребаците новац или извршите уплату, банка ће послати ТАН на ваш телефон као додатни корак за верификацију како би се уверила да нема глупости.
Овај ТАН уносите у одговарајуће поље и трансакција је одобрена са ваше стране. Ако добијете ТАН, али нисте извршили ниједну недавну трансакцију, требало би да одмах контактирате своју банку.
Иако још увек нису широко распрострањене у САД, трансакције заштићене ТАН-ом су прилично уобичајене широм Европе и других региона.
Ризик са аутоматским попуњавањем безбедносног кода
Пошто аутоматско попуњавање безбедносног кода аутоматски извлачи једнократну шифру из порука, изоставља сав релевантан контекст.
За банкарство је тај контекст – попут финансијског износа или одредишта плаћања – кључан за сазнање да ли је трансакција легитимна.
„Чињеница да корисник верификује ове истакнуте информације је управо оно што пружа безбедносну корист“, написао је Гутман у посту на блогу. "Уклањање тога из процеса чини га неефикасним."
Другим речима, Аппле-ова нова функција која штеди време би потенцијално могла да учини кориснике рањивијим на финансијске преваре или нападе човека у средини.
Корисник, теоретски, може аутоматски да унесе ОТП да би одобрио лажну финансијску трансакцију. Нападач би потенцијално могао да превари аутоматско попуњавање безбедносног кода користећи злонамерну веб локацију или апликацију.
Може ли Аппле било шта да уради у вези с тим?
Главна ствар коју би Аппле могао да уради је да примени неку врсту мере у АутоФилл безбедносног кода која може да разликује 2ФА захтев и ТАН.
Тренутно није јасно да ли аутоматско попуњавање безбедносног кода може да разликује 2ФА и ТАН. Ако може, онда ово питање постаје много мањи проблем.
Наравно, ако довољно људи изрази забринутост да је аутоматско попуњавање безбедносног кода рањивост, Аппле би могао да га ажурира како би ублажио проблем.
Како се заштитити
Пре свега, требало би не онемогућите двофакторску аутентификацију на било ком од својих налога.
Док је двофакторска аутентификација заснована на СМС-у релативно погрешан систем који је склон пресретању или нападима, много је бољи него да се само ослањате на лозинку.
Ако сте у Европи, најбоље што можете да урадите је да још једном проверите сваки појединачни ОТП или 2ФА који добијете. Потребно је само неколико секунди да пређете на Поруке и проверите контекстуалне информације.
То је посебно тачно ако не можете лако да разликујете ТАН и 2ФА лозинку без провере оригиналне СМС текстуалне поруке.
Ако нисте у земљи која користи ТАН, вероватно је још увек паметно проверити сумњиве ОТП-ове који се шаљу на ваш уређај. Ако се не пријављујете активно и примите ОТП текстуалну поруку, онда нешто вероватно није у реду.
Штавише, водите рачуна о томе да ТАН системи буду шире имплементирани у америчким банкама. Европа је у последње време предњачила када су у питању стандарди приватности и безбедности. Вероватно је да би америчке банке и финансијске институције могле усвојити ТАН у блиској будућности.
Такође би требало да користите најбоље безбедносне праксе уопште када радите са финансијским подацима или информацијама за пријаву. Чак и најбоља лозинка и 2ФА безбедност не могу да вас заштите од друштвеног инжењеринга.
Мајк је слободни новинар из Сан Дијега у Калифорнији.
Иако првенствено покрива Аппле и потрошачку технологију, има претходно искуство писања о јавној безбедности, локалној управи и образовању за разне публикације.
Носио је доста шешира у области новинарства, укључујући писца, уредника и дизајнера вести.