Чому автозаповнення коду безпеки в iOS 12 є ризикованим + як захистити себе

Одне з менших доповнень у майбутньому оновленні iOS 12 від Apple — це розумна маленька, яка робить автозаповнення коду безпеки.

По суті, це система, яка значно полегшує введення двофакторних кодів аутентифікації під час входу.

Але один дослідник безпеки розглядає автозаповнення коду безпеки як потенційну вразливість, якою можуть скористатися зловмисники.

Ось чому вам потрібно знати.

Автозаповнення коду безпеки iOS 12

Вхід до облікового запису з двофакторною автентифікацією зазвичай включає два окремі кроки — звідси й назва.

Ви введете своє ім’я користувача та пароль, а потім отримаєте SMS-повідомлення з одноразовим кодом. Після того, як ви введете цей код, ви можете увійти.

Але iOS 12 справляється з цим дещо інакше. Він може автоматично визначати, коли ви отримуєте двофакторний код аутентифікації (також відомий як одноразовий пароль або OTP).

ПОВ'ЯЗАНІ:

• Функції безпеки iOS 12
• Що таке надійний пароль? Чому мій iPhone обирає для мене паролі?
• 25 найкращих функцій iOS 12, які варті вашого часу

Потім система зареєструє це ім’я та надасть вам можливість ввести його одним клацанням миші. У iOS 12 він з’явиться як варіант над клавіатурою з приміткою, що це «З повідомлень».

Звичайно, це може заощадити досить багато часу, оскільки уникає необхідності переходити між додатками або миттєво запам’ятовувати OTP.

Але простота використання також є причиною того, що за певних обставин це може становити загрозу безпеці.

Що таке ризик

В першу чергу ризик лежить на фінансових установах. Хоча є й інші випадки, коли автозаповнення коду безпеки може бути небезпечним, це найбільш тривожний сценарій.

Андреас Гутманн, дослідник безпеки в Кембриджському інноваційному центрі OneSpan, говорить, що найактуальніша проблема центрується на чомусь, що називається номером аутентифікації транзакції (TAN).

Що таке TAN?

Як і двофакторна аутентифікація, TAN – це одноразовий код, який надсилається на ваш телефон. Але TAN не призначений для входу в систему — натомість це спосіб додати захист 2FA до фінансових транзакцій.

По суті, коли ви переказуєте гроші або робите платіж, банк надсилає на ваш телефон TAN як додатковий крок перевірки, щоб переконатися, що не відбувається дурниці.

Ви вводите цей TAN у відповідне поле, і транзакція буде схвалена з вашого боку. Якщо ви отримали TAN, але не проводили жодних останніх трансакцій, вам слід негайно зв’язатися зі своїм банком.

Хоча транзакції, захищені TAN, ще не дуже поширені в США, вони досить поширені в Європі та інших регіонах.

Ризик із автозаповненням коду безпеки

Оскільки автозаповнення коду безпеки автоматично витягує одноразовий пароль із повідомлень, він залишає весь відповідний контекст.

Для банківської діяльності цей контекст, як-от фінансова сума або місце призначення платежу, є вирішальним для того, щоб знати, чи є транзакція законною.

«Той факт, що користувач перевіряє цю важливу інформацію, є саме тим, що забезпечує перевагу безпеки», – написав Гутманн у своєму блозі. «Видалення цього з процесу робить його неефективним».

Іншими словами, нова функція Apple, яка заощаджує час, потенційно може зробити користувачів більш вразливими до фінансового шахрайства або атак «людина посередині».

Теоретично користувач може автоматично ввести OTP, щоб схвалити шахрайську фінансову транзакцію. Зловмисник потенційно може підробити автозаповнення коду безпеки за допомогою шкідливого веб-сайту або програми.

Чи може Apple щось зробити з цим?

Головне, що Apple могла зробити, — це застосувати певний тип заходу в автозаповнення коду безпеки, який може відрізнити запит 2FA та TAN.

Наразі не зрозуміло, чи може автозаповнення коду безпеки розрізняти 2FA та TAN. Якщо це можливо, тоді ця проблема стає набагато меншою проблемою.

Звичайно, якщо достатньо людей висловлять занепокоєння щодо вразливості автозаповнення коду безпеки, Apple може оновити його, щоб пом’якшити проблему.

Як захистити себе

Перш за все, ви повинні ні вимкнути двофакторну автентифікацію на будь-якому зі своїх облікових записів.

Хоча двофакторна аутентифікація на основі SMS є відносно несправною системою, яка схильна до перехоплення або атак, це набагато краще, ніж просто покладатися на пароль.

Якщо ви перебуваєте в Європі, найкраще, що ви можете зробити, це перевіряти кожен OTP або 2FA, які ви отримуєте. Щоб перейти до Повідомлень і перевірити контекстну інформацію, потрібно всього кілька секунд.

Це особливо вірно, якщо ви не можете легко розрізнити TAN і пароль 2FA, не перевіривши оригінальне текстове повідомлення SMS.

Якщо ви не перебуваєте в країні, де використовується TAN, імовірно, буде розумно перевіряти підозрілі одноразові паролі, які надсилаються на ваш пристрій. Якщо ви не входите активно і отримуєте текстове повідомлення одноразового пароля, то, ймовірно, щось не так.

Крім того, слідкуйте за тим, щоб системи TAN були ширше впроваджені в банках США. Останнім часом Європа лідирує, коли йдеться про стандарти конфіденційності та безпеки. Цілком імовірно, що банки та фінансові установи США можуть прийняти TAN найближчим часом.

Під час роботи з фінансовими даними або інформацією для входу також слід використовувати найкращі методи безпеки в цілому. Навіть найкращий пароль і безпека 2FA не можуть захистити вас від соціальної інженерії.