即将于秋季正式推出的iOS 12的新功能之一就是可以识别短信中的验证码并自动填写。
这一功能极大地方便了用户,但最近安全专家Andreas Gutmann( Andreas Gutmann指出,这样的自动填写功能可能存在安全风险,并提醒银行和程序开发者注意加强防范。
在今年6月的全球开发者大会(WWDC 2018)上,苹果公布了iOS 12的新功能:Auto Fill(自动填写验证码),旨在通过自动读取短信中的验证码来节省Safari等应用程序的时间,消除手动输入表单的麻烦,给用户带来无缝的注册流程体验。
在绝大多数网上交易和网上访问都采用双因素认证(2FA)的情况下,自动填写验证码无疑方便了用户。
而且,如果你的Mac也安装了最新的Mojave beta系统,短信验证码也会通过“Handoff”功能传输到Mac上。
双因素身份验证,通常称为两步验证,是许多安全系统的基本要素。
在大多数情况下,2FA 通过检查用户是否有权访问移动设备来提供扩展的安全性。
例如,在基于短信的2FA中,用户需要将其手机号码发送到服务系统,然后服务系统将一次性密码(OTP)(一种验证码)发送到注册的电话号码以进行验证用户的合法性。
用户收到此代码,并且冒充者无法在登录过程中输入该代码。
iOS 12新功能只需用户在收到验证码短信时点击一次即可自动输入验证码,这将加快登录过程并减少错误。
安全专家肯定,苹果的做法是对2FA可用性的重大改进,也可以提高iPhone用户中2FA的采用率。
不过,专家也警告称,iOS 12验证码自动填充功能可能会导致欺诈、钓鱼攻击等后续风险。
动态验证码本身就是防御复杂攻击的重要工具。
关键是用户必须收到验证码并在有效时间内主动+手动输入验证码。
自动填充直接去掉了手动部分,方便了用户,但也否定了交易签名和交易验证码(TAN)的安全优势。
iOS 12的自动填充功能是基于触发消息检测的。
例如,如果检测到类似于“验证码”或“密码”的词语(字段),则提取并填充相应的字段。
恶意网站或恶意软件也可能通过这种方式提取验证码,进行网银诈骗。
通过 MacBook 上的 Safari 浏览器访问网上银行的用户可能会受到中间人攻击。
安全专家建议银行应警惕新的验证码自动填充功能: 1. 教育客户仔细阅读验证短信和详细信息的重要性,特别是那些在 iPhone 上收到验证短信的客户(很多人只是随便扫一眼) ,只关注验证码,不关注短信内容)。
2. 银行可以尝试避免激活特定字段(可跟踪)的自动填充。
3. 对高风险交易采用更先进的身份验证技术,例如生物识别(指纹、面部识别等)和推送通知。
4. 基于安全考虑,程序开发者可以通过自动填充阻止和应用程序自我保护(RASP)技术来保护自己免受攻击。