| 2 июля 2018 г. — 19:34
Обновление: Уилл Страфах высказывает сомнения по поводу мнения Гутмана:
https://twitter.com/chronic/status/1014304649233477632
В iOS 12 и macOS Mojave Apple представила новую функцию автозаполнения кодов безопасности, которая упрощает управление кодами двухфакторной аутентификации, отправляемыми через SMS. Однако один из исследователей безопасности опубликовал новую статью, в которой подробно описаны некоторые потенциальные опасения по поводу мошенничества с этой функцией.
В нашей первоначальной статье о функции мы отметили, что двухфакторная аутентификация по SMS не является самой надежной формой двухфакторной аутентификации. Теперь Андреас Гутман, исследователь из Cambridge Innovation Centre компании OneSpan, глубже изучает проблемы безопасности, связанные с новой функцией автозаполнения от Apple.
Security Code AutoFill — это новая функция для iPhone в iOS 12. Она призвана улучшить удобство использования двухфакторной аутентификации, но может подвергнуть пользователей риску мошенничества в онлайн-банкинге, устраняя аспект человеческой проверки в процессе подписания транзакции/аутентификации.
Процесс человеческой проверки, объясняет Гутман, является важным аспектом двухфакторной аутентификации. Без него пользователь может быть более подвержен «атакам посредника, фишингу или другим атакам социальной инженерии».
Гутман далее пишет, что эта функция может создать проблемы с аутентификацией транзакций в отношении банковского дела:
Аутентификация транзакции, в отличие от аутентификации пользователя, подтверждает правильность намерения действия, а не только личность пользователя. Она наиболее широко известна в онлайн-банкинге, и, в частности, как способ соответствовать требованиям Директивы ЕС о платежных услугах (PSD2) о динамическом связывании, где она является важным инструментом для защиты от сложных атак.
Тот факт, что пользователь проверяет эту важную информацию, именно и обеспечивает преимущество безопасности. Удаление этого из процесса делает его неэффективным. Примеры, в которых Security Code AutoFill может представлять риск для безопасности онлайн-банкинга, включают атаку посредника на пользователя, получающего доступ к онлайн-банкингу через Safari на своем MacBook, внедрение необходимого тега поля ввода, если это необходимо, или когда вредоносный веб-сайт или приложение получает доступ к законному онлайн-сервису банка.
Полную статью определенно стоит прочитать, и она доступна здесь.
Подпишитесь на 9to5Mac на YouTube, чтобы узнавать больше новостей об Apple: