Nhà nghiên cứu bày tỏ lo ngại về tính năng tự động điền mã bảo mật mới của iOS 12

Với iOS 12 và MacOS Mojave, Apple đã giới thiệu tính năng tự động điền mã bảo mật mới giúp quản lý mã xác thực hai yếu tố được gửi qua SMS dễ quản lý hơn. Tuy nhiên, một nhà nghiên cứu bảo mật đã xuất bản một đoạn mới nêu chi tiết một số mối lo ngại về gian lận tiềm năng với tính năng này.

Trong phạm vi bảo hiểm ban đầu của chúng tôi về tính năng này, chúng tôi nhận thấy rằng hai yếu tố SMS không phải là hình thức xác thực hai yếu tố an toàn nhất. Bây giờ, Andreas Gutmann, một nhà nghiên cứu tại Trung tâm Cải tiến Cambridge của OneSpan, tìm hiểu sâu hơn về các vấn đề an ninh đi kèm với tính năng tự động điền mới của Apple.
Mã bảo mật Tự động điền là một tính năng mới cho iPhone trong iOS 12. Nó được cho là cải thiện khả năng sử dụng xác thực hai yếu tố, nhưng có thể khiến người dùng lừa đảo ngân hàng trực tuyến bằng cách xóa khía cạnh xác thực của con người trong quá trình xác thực / giao dịch.

 

Quá trình xác nhận con người, Gutmann giải thích, là một khía cạnh quan trọng của xác thực hai yếu tố. Không có nó, người dùng có thể dễ bị "tấn công trung gian, lừa đảo hoặc các cuộc tấn công kỹ thuật xã hội khác".
Gutmann tiếp tục viết rằng tính năng này có thể gây ra sự cố khi xác thực giao dịch liên quan đến ngân hàng:
Xác thực giao dịch, trái ngược với xác thực người dùng, chứng thực tính đúng đắn của ý định của một hành động thay vì chỉ là danh tính của người dùng. Nó được biết đến rộng rãi nhất trong ngân hàng trực tuyến, và đặc biệt là cách đáp ứng yêu cầu Chỉ thị Dịch vụ Thanh toán được sửa đổi của EU (PSD2) cho liên kết động, nơi nó là một công cụ cần thiết để bảo vệ chống lại các cuộc tấn công tinh vi.
Thực tế là người dùng xác minh thông tin nổi bật này chính xác là những gì cung cấp lợi ích bảo mật. Loại bỏ nó khỏi quá trình làm cho nó không hiệu quả. Ví dụ trong đó AutoFill Security Code có thể gây rủi ro cho bảo mật ngân hàng trực tuyến bao gồm tấn công Man-in-the-Middle đối với người dùng truy cập ngân hàng trực tuyến từ Safari trên MacBook của họ, tiêm thẻ trường nhập cần thiết nếu cần hoặc trang web độc hại hoặc ứng dụng truy cập dịch vụ ngân hàng trực tuyến hợp pháp của ngân hàng.

 

1
Bạn cần hỗ trợ?