通过iOS 12和macOS Mojave,Apple 推出了一种新的安全代码自动填充功能,可以更轻松地管理通过SMS发送的双因素身份验证代码。然而,一位安全研究人员发布了一篇新文章,详细介绍了该功能存在的一些潜在欺诈问题。
在我们对该功能的初步报道中,我们注意到SMS双因素不是最安全的双因素身份验证形式。现在, OneSpan剑桥创新中心的研究员Andreas Gutmann深入研究了苹果公司新的自动填充功能带来的安全问题。
安全代码AutoFill是iOS 12中iPhone的新功能。它应该提高双因素身份验证的可用性,但可以通过删除事务签名/身份验证过程的人工验证方面来使用户暴露于网上银行欺诈。
Gutmann解释说,人工验证过程是双因素认证的一个重要方面。没有它,用户可能更容易受到“中间人,网络钓鱼或其他社会工程攻击”的影响。
Gutmann接着写道,该功能可能会为与银行业务相关的交易认证带来麻烦:
与用户身份验证相反,事务身份验证证明了操作意图的正确性,而不仅仅是用户的身份。它在网上银行中最为人所知,特别是作为满足欧盟修订支付服务指令(PSD2)动态链接要求的一种方式,它是防御复杂攻击的重要工具。
用户验证此突出信息的事实正是提供安全性益处的原因。从流程中删除它会使其无效。安全码自动填充可能对网上银行安全构成风险的示例包括对用户在MacBook上从Safari访问网上银行进行中间人攻击,必要时注入所需的输入字段标记,或者恶意网站或应用程序访问银行的合法网上银行服务。
586/556 个字
分享到:
閱讀更多 Apple十 的文章
