Новая функция автозаполнения кода безопасности в iOS 12 полностью исключает участие человека в процессе аутентификации.
Новая функция в iOS 12, призванная упростить для пользователей процесс прохождения двухфакторной аутентификации, открывает двери банковским мошенникам.
Как отметил исследователь из OneSpan Cambridge Innovation Centre Андреас Гутман (Andreas Gutmann), новая функция автозаполнения кода безопасности в iOS 12, автоматически вставляющая высланный на iPhone код в соответствующее поле для прохождения двухфакторной аутентификации, полностью исключает участие человека в процессе аутентификации.
Проверка человеком критической информации (например, попыток входа) является важным аспектом механизма двухфакторной аутентификации. Автоматизация процесса удаляет этот аспект и повышает риск атак "человек посередине", фишинга и других атак с использованием методов социальной инженерии.
Как отмечают в Apple, функция автозаполнения кода безопасности призвана ускорить процесс авторизации и предотвратить ошибки при вводе кода. Избавив пользователей от лишней рутины, компания надеется сделать iPhone еще более привлекательным для покупателей. Однако Гутман не уверен в том, что плюсы новой функции перекрывают ее минусы. По словам исследователя, многие банки проводят аутентификацию не пользователей, а транзакций, и автоматизация процесса может стать угрозой безопасности.
Гравитация научных фактов сильнее, чем вы думаете