Perché il codice di sicurezza AutoFill di iOS 12 è rischioso + Come proteggersi
Una delle aggiunte più piccole nel prossimo aggiornamento di Apple per iOS 12 è un piccolo intelligente che rende il codice di sicurezza AutoFill chiamato Security Code AutoFill.
Fondamentalmente, è un sistema che rende molto più facile l’inserimento di codici di autenticazione a due fattori quando si effettua il login.
Ma per quanto sia utile, un ricercatore di sicurezza considera il Security Code AutoFill come una potenziale vulnerabilità che potrebbe essere sfruttata dagli aggressori malintenzionati.
Ecco perché dovete saperlo.
Glossario
Codice di sicurezza AutoFill iOS 12
L’accesso a un account con autenticazione a due fattori comporta tipicamente due fasi separate – da cui il nome.
Inserite il vostro nome utente e la vostra password, quindi ricevete un SMS con un codice monouso. Una volta digitato il codice, sei libero di effettuare il login.
Ma iOS 12 gestisce la situazione in modo un po’ diverso. Può rilevare automaticamente quando si riceve un codice di autenticazione a due fattori (noto anche come passcode una tantum o OTP).
RELATIVO:
- Caratteristiche di sicurezza di iOS 12
- Cos’è la password forte? Perché il mio iPhone sceglie le password per me?
- Top 25 delle 25 funzioni di iOS 12 che valgono il vostro tempo
Il sistema registrerà quindi quel nome e vi darà la possibilità di inserirlo con un solo clic. In iOS 12, apparirà come opzione sopra la tastiera con una nota che indica che si tratta di “Da Messaggi”.
Naturalmente, questo può far risparmiare un bel po’ di tempo, in quanto evita di dover saltare tra le applicazioni o di dover memorizzare l’OTP in un lampo.
Ma la facilità d’uso è anche il motivo per cui potrebbe essere un rischio per la sicurezza in determinate circostanze.
Che cos’è il rischio
Il rischio è principalmente a carico degli istituti finanziari. Anche se ci sono probabilmente altri casi in cui il codice di sicurezza AutoFill potrebbe essere rischioso, questo è lo scenario più preoccupante.
Andreas Gutmann, ricercatore in materia di sicurezza presso il Cambridge Innovation Center di OneSpan, afferma che il problema più urgente riguarda una cosa chiamata numero di autenticazione delle transazioni (TAN).
Cos’è un TAN?
Come l’autenticazione a due fattori, un TAN è un codice una tantum che viene inviato al telefono. Ma un TAN non serve per effettuare il login, ma è un modo per aggiungere la protezione 2FA alle transazioni finanziarie.
Fondamentalmente, quando si trasferisce denaro o si effettua un pagamento, una banca invierà un TAN al telefono come ulteriore passo di verifica per assicurarsi che non ci sia nessuna buffonata in corso.
Inserite questo TAN in un campo appropriato e la transazione viene approvata dalla vostra parte. Se ricevete un TAN ma non avete effettuato transazioni recenti, dovete contattare immediatamente la vostra banca.
Anche se non ancora diffuse negli Stati Uniti, le transazioni protette da TAN sono abbastanza comuni in Europa e in altre regioni.
Il rischio con codice di sicurezza AutoFill
Poiché il codice di sicurezza AutoFill estrae automaticamente un codice di accesso una tantum dai messaggi, lascia fuori tutto il contesto rilevante.
Per le banche, questo contesto – come l’importo finanziario o la destinazione del pagamento – è fondamentale per sapere se una transazione è legittima.
“Il fatto che un utente verifichi queste informazioni salienti è proprio ciò che fornisce il vantaggio della sicurezza”, ha scritto Gutmann in un post del blog. “Toglierlo dal processo lo rende inefficace”.
In altre parole, la nuova funzionalità di Apple, che consente di risparmiare tempo, potrebbe potenzialmente rendere gli utenti più vulnerabili alle frodi finanziarie o agli attacchi man-in-the-middle.
Un utente, teoricamente, potrebbe inserire automaticamente un OTP per approvare una transazione finanziaria fraudolenta. Un aggressore potrebbe potenzialmente falsificare un codice di sicurezza AutoFill utilizzando un sito web o un’applicazione dannosa.
Apple può fare qualcosa?
La cosa principale che Apple potrebbe fare è implementare un qualche tipo di misura nel Security Code AutoFill che possa distinguere tra una richiesta 2FA e un TAN.
Attualmente non è chiaro se il codice di sicurezza AutoFill può distinguere tra 2FA e TAN. Se ci riesce, allora questo problema diventa molto meno problematico.
Naturalmente, se un numero sufficiente di persone esprimono la preoccupazione che il codice di sicurezza AutoFill sia una vulnerabilità, Apple potrebbe aggiornarlo per mitigare il problema.
Come proteggersi
Prima di tutto, si dovrebbe non disabilitare l’autenticazione a due fattori su qualsiasi account.
Mentre l’autenticazione a due fattori basata su SMS è un sistema relativamente difettoso e soggetto a intercettazioni o attacchi, è molto meglio che affidarsi semplicemente a una password.
Se siete in Europa, la cosa migliore che potete fare è ricontrollare ogni singolo OTP o 2FA che ricevete. Ci vogliono solo un paio di secondi per passare a Messaggi e verificare le informazioni contestuali.
Ciò è particolarmente vero se non si riesce a distinguere facilmente tra un codice TAN e un codice 2FA senza controllare l’SMS originale.
Se non vi trovate in un paese che utilizza il TAN, probabilmente è comunque intelligente verificare gli OTP sospetti che vengono inviati al vostro dispositivo. Se non si effettua il login attivo e si riceve un messaggio di testo OTP, allora probabilmente c’è qualcosa che non va.
Inoltre, siate alla ricerca di sistemi TAN da implementare in modo più ampio nelle banche statunitensi. Negli ultimi tempi, l’Europa è stata in testa alla classifica per quanto riguarda gli standard di privacy e sicurezza. È probabile che il TAN possa essere adottato dalle banche e dalle istituzioni finanziarie statunitensi nel prossimo futuro.
Si dovrebbe anche utilizzare le migliori pratiche di sicurezza in generale quando si tratta di dati finanziari o di informazioni di accesso. Anche la migliore password e la sicurezza 2FA non possono proteggervi dal social engineering.