Con iOS 12 e macOS Mojave, Apple ha introdotto una nuova funzione di riempimento automatico del codice di sicurezza che semplifica la gestione dei codici di autenticazione a due fattori inviati tramite SMS. Un ricercatore di sicurezza, tuttavia, ha pubblicato un nuovo articolo che descrive alcuni potenziali problemi di sicurezza che potrebbero nascere da questo nuovo approccio.
Andreas Gutmann, ricercatore di sicurezza presso il Cambridge Innovation Center di OneSpan, ha parlato in modo approfondito dei problemi di sicurezza legati alla nuova funzionalità di riempimento automatico introdotta da Apple con iOS 12.
Il codice di sicurezza in Auto-Fill è una nuova funzionalità introdotta su iPhone con iOS 12 per migliorare l’usabilità dell’autenticazione a due fattori, ma potrebbe esporre gli utenti a frodi bancarie online dato che viene rimosso l’aspetto di convalida umana nel processo di firma / autenticazione delle transazioni. Per semplificare la funzionalità di autenticazione a due fattori, è stata infatti implementata una nuova funzione di riempimento automatico del codice di sicurezza. I codici di sicurezza degli SMS in entrata appariranno nella barra Quick Tap della tastiera quando è necessaria l’autenticazione a due fattori per completare un accesso. Il codice di sicurezza verrà visualizzato non appena ti verrà inviato un SMS per poterlo inserire con un singolo tocco, senza dover aprire il messaggio o ricordare a mente il codice.
Il processo di convalida umana, spiega Gutmann, è un aspetto importante dell’autenticazione a due fattori. Senza di esso, un utente potrebbe essere più suscettibile ad attacchi “man-in-the-middle, phishing o di social engineering“. E i rischi sono maggiori proprio per le transazioni bancarie:
L’autenticazione delle transazioni, al contrario dell’autenticazione dell’utente, attesta la correttezza dell’intenzione di un’azione piuttosto che l’identità di un utente. È più ampiamente conosciuto nel settore bancario online e, in particolare, si tratta di un modo per soddisfare i requisiti della direttiva sui servizi di pagamento (PSD2) rivisti dell’UE per il collegamento dinamico, uno strumento essenziale per difendersi da attacchi anche molto sofisticati.
Il fatto che un utente verifichi queste informazioni salienti è esattamente ciò che fornisce il vantaggio di sicurezza. Rimuoverlo dal processo lo rende inefficace. Esempi in cui il codice di sicurezza AutoFill può rappresentare un rischio per la sicurezza bancaria online includono un attacco Man-in-the-Middle all’utente che accede a servizi bancari online da Safari sul proprio MacBook, iniettando il tag di campo richiesto, se necessario, o nei casi in cui un sito Web dannoso o l’app accede al legittimo servizio di banca online della banca.
Il report completo è disponibile qui.