Ett av de mindre tilläggen i Apples kommande iOS 12-uppdatering är en smart liten som kallas Säkerhetskod Autofyll.
I grund och botten är det ett system som gör det mycket lättare att mata in tvåfaktorsautentiseringskoder när du loggar in.
Men hur bra som helst ser en säkerhetsforskare Säkerhetskod Autofyll som en potentiell sårbarhet som kan utnyttjas av illvilliga angripare.
Här är varför du behöver veta.
Innehåll
- Säkerhetskod Autofyll iOS 12
-
Vad är risken
- Vad är en TAN?
- Risken med säkerhetskod Autofyll
- Kan Apple göra något åt det?
-
Hur du skyddar dig själv
- Relaterade inlägg:
Säkerhetskod Autofyll iOS 12
Att logga in på ett konto med tvåfaktorsautentisering innebär vanligtvis två separata steg - därav namnet.
Du anger ditt användarnamn och lösenord och får sedan ett SMS med en engångskod. När du har skrivit in den koden är du fri att logga in.
Men iOS 12 hanterar det här lite annorlunda. Den kan automatiskt upptäcka när du får en tvåfaktorsautentiseringskod (även känd som ett engångslösenord eller OTP).
RELATERAD:
- iOS 12 säkerhetsfunktioner
- Vad är ett starkt lösenord? Varför väljer min iPhone lösenord för mig?
- Topp 25 iOS 12-funktioner som är värda din tid
Systemet loggar sedan det namnet och ger dig möjlighet att mata in det med ett enda klick. I iOS 12 visas det som ett alternativ ovanför tangentbordet med en anteckning om att det är "Från meddelanden."
Naturligtvis kan detta spara en hel del tid eftersom det hindrar dig från att behöva hoppa mellan appar eller memorera OTP på ett ögonblick.
Men användarvänligheten är också anledningen till att det kan vara en säkerhetsrisk under vissa omständigheter.
Vad är risken
I första hand ligger risken hos finansiella institutioner. Även om det sannolikt finns andra fall där AutoFyll säkerhetskod kan vara riskabelt, är detta det mest oroande scenariot.
Andreas Gutmann, säkerhetsforskare vid OneSpans Cambridge Innovation Center, säger att det mest akuta problemet centrerar på något som kallas ett transaktionsautentiseringsnummer (TAN).
Vad är en TAN?
Precis som tvåfaktorsautentisering är en TAN en engångskod som skickas till din telefon. Men en TAN är inte till för att logga in - istället är det ett sätt att lägga till 2FA-skydd till finansiella transaktioner.
I grund och botten, när du överför pengar eller gör en betalning, kommer en bank att skicka ett TAN till din telefon som ett extra verifieringssteg för att säkerställa att inget tomfoolery pågår.
Du anger denna TAN i ett lämpligt fält och transaktionen godkänns på din sida. Om du får ett TAN men du inte gjorde några transaktioner nyligen, ska du kontakta din bank omedelbart.
Även om de inte är utbredda i USA ännu, är TAN-skyddade transaktioner ganska vanliga i hela Europa och andra regioner.
Risken med säkerhetskod Autofyll
Eftersom Säkerhetskod Autofyll automatiskt hämtar ett engångslösenord från meddelanden utelämnar det allt relevant sammanhang.
För bankverksamhet är det sammanhanget – som ekonomiskt belopp eller betalningsdestination – avgörande för att veta om en transaktion är legitim.
"Det faktum att en användare verifierar denna framträdande information är just det som ger säkerhetsfördelarna", skrev Gutmann i ett blogginlägg. "Att ta bort det från processen gör det ineffektivt."
Med andra ord kan Apples tidsbesparande nya funktion potentiellt göra användare mer sårbara för ekonomiska bedrägerier eller man-i-mitten-attacker.
En användare kan teoretiskt sett automatiskt mata in en OTP för att godkänna en bedräglig finansiell transaktion. En angripare kan potentiellt förfalska en säkerhetskod Autofyll med hjälp av en skadlig webbplats eller app.
Kan Apple göra något åt det?
Det viktigaste som Apple kan göra är att implementera någon typ av åtgärd i Säkerhetskod AutoFill som kan se skillnaden mellan en 2FA-förfrågan och en TAN.
Det är för närvarande inte klart om Säkerhetskod AutoFill kan skilja mellan 2FA och TAN. Om det kan blir det här problemet mycket mindre problem.
Naturligtvis, om tillräckligt många människor uttrycker oro över att säkerhetskod Autofyll är en sårbarhet, kan Apple uppdatera den för att mildra problemet.
Hur du skyddar dig själv
Först och främst borde du inte inaktivera tvåfaktorsautentisering på något av dina konton.
Även om SMS-baserad tvåfaktorsautentisering är ett relativt bristfälligt system som är benäget att avlyssnas eller attackeras, är det mycket bättre än att bara lita på ett lösenord.
Om du är i Europa är det bästa du kan göra att dubbelkolla varje enskild OTP eller 2FA du får. Det tar bara ett par sekunder att bläddra till Messages och verifiera den kontextuella informationen.
Det är särskilt sant om du inte lätt kan skilja mellan ett TAN och ett 2FA-lösenord utan att kontrollera det ursprungliga SMS-meddelandet.
Om du inte befinner dig i ett land som använder TAN är det förmodligen fortfarande smart att verifiera misstänkta OTP: er som skickas till din enhet. Om du inte aktivt loggar in och du får ett OTP-sms, är det förmodligen något som är fel.
Håll dessutom utkik efter att TAN-system ska implementeras mer brett i amerikanska banker. Europa har på senare tid legat i täten när det gäller integritets- och säkerhetsstandarder. Det är troligt att TAN kan antas av amerikanska banker och finansiella institutioner inom en snar framtid.
Du bör också använda bästa metoder för säkerhet i allmänhet när du hanterar finansiell data eller inloggningsinformation. Inte ens det bästa lösenordet och 2FA-säkerheten kan skydda dig från social ingenjörskonst.
Mike är en frilansjournalist från San Diego, Kalifornien.
Även om han främst täcker Apple och konsumentteknologi, har han tidigare erfarenhet av att skriva om allmän säkerhet, lokala myndigheter och utbildning för en mängd olika publikationer.
Han har burit en hel del hattar inom journalistikområdet, inklusive författare, redaktör och nyhetsdesigner.