道尽途穷iOS12验证码自动填充功能不安全吗 带来什么安全隐患

daydayup

#109127#­行将在秋季正式推送的 iOS 12，其中1项新特性是可以辨认短信中的验证码并自动填写，这个功能大大方便了用户，但是近日安全专家安德烈亚斯·古特曼（Andreas Gutmann）指出：这样的自动填充功能可能存在安全隐患，并提示银行方面和程序开发者们注意加强防范。
­今年 6 月的全球开发者大会（WWDC 2018）上，苹果宣布了 iOS 12 的新特性：Auto Fill（验证码自动填充），其旨在通过自动读取短信中的验证码，节省在 Safari 等利用中手动输入表单的麻烦，从而为用户带来无缝的注册流程体验。
­在当前绝大部份在线交易和在线访问都采取两重身份验证（2FA）的情况下，验证码自动填充无疑方便了用户。并且，如果你的 Mac 也安装了最新的 Mojave 测试版系统，短信验证码还会通过「接力功能」（Handoff）传输到 Mac 上。
­两重身份验证通常称为两步验证，是许多安全系统的基本要素。在大多数情况下，2FA 通过检查用户是不是可以访问移动装备来提供扩大的安全性。例如，在基于 SMS 的 2FA 中，用户要向某个服务系统发送自己的手机号，此服务再向注册的电话号码发送1次性密码（OTp），也就是验证码来检验用户合法性，用户接收此代码并能够在登录进程中输入该代码，而模仿者没法访问该代码。
­iOS 12 新功能只需要用户在接收到验证码短信的时候点击1下，便会自动输入验证码，这将加快登录进程并减少毛病。安全专家肯定苹果这1做法是对 2FA 可用性的重大改进，它还可以提高 iphone 用户对 2FA 的采取率。但专家同时正告称：iOS 12 验证码自动填充功能可能会催生随之而来的讹诈、钓鱼攻击等风险。
­动态验证码本身是防御复杂攻击的重要工具，其中的关键在于必须由用户接收到并在有效时间内主动+手动输入验证码。自动填充直接移除其中的手动部份，对用户来讲很方便，但它也抵消了交易签名和交易验证号码（TAN）的安全优势。
­iOS 12 的自动填充功能基于触发式的消息检测，比如检测出类似于“验证码”或“密码”这样的单词（字段），便会提取相应字段进行填充。
­歹意网站或歹意软件也有可能通过这样的手段提取到验证码，进行网银讹诈。在 MacBook 上通过 Safari 阅读器访问网银的用户，可能会遭到中间人攻击。
­安全专家提议银行应当对新的验证码自动填充功能保持警惕：
­1. 教育客户仔细浏览验证短信和详情的重要性，特别是那些在 iphone 上接收验证短信的人（很多人都是随意看1眼，只留意验证码而不留意看短信内容）。
­2. 银行可以尽可能避免因（可被追踪到的）特定字段而激活自动填充功能。
­3. 采取更高级的身份验证技术，例如生物辨认技术（指纹、脸部辨认等）和针对高风险交易的推送通知。
­4. 程序开发者们基于安全斟酌，可以通过自动填充屏蔽和 App 自我保护（RASp）技术免受攻击。
更多内容阅读推荐：商业用途征地可以强拆吗