Peneliti menyatakan keprihatinan tentang keamanan baru iOS 12 …
Pembaruan: Will Strafach memiliki beberapa keraguan tentang pemikiran Gutmann:
Dengan iOS 12 dan macOS Mojave, Apple memperkenalkan fitur pengisian otomatis kode keamanan baru yang memudahkan pengelolaan kode autentikasi dua faktor yang dikirim melalui SMS. Namun, seorang peneliti keamanan telah menerbitkan bagian baru yang merinci beberapa potensi masalah penipuan dengan fitur tersebut..
Dalam cakupan awal kami tentang fitur ini, kami mencatat bahwa SMS dua faktor bukanlah bentuk otentikasi dua faktor yang paling aman. Sekarang, Andreas Gutmann, seorang peneliti di Pusat Inovasi Cambridge OneSpan, menyelam lebih dalam ke masalah keamanan yang datang dengan fitur pengisian otomatis baru Apple.
IsiOtomatis Kode Keamanan adalah fitur baru untuk iPhone di iOS 12. Ini seharusnya meningkatkan kegunaan otentikasi dua faktor, tetapi dapat mengekspos pengguna ke penipuan perbankan online. cara menghapus aspek validasi manusia dari penandatanganan/validasi transaksi.
Proses otentikasi manusia merupakan aspek penting dari otentikasi dua faktor, Gutmann menjelaskan. Tanpa itu, pengguna bisa rentan terhadap “serangan man-in-the-middle, phishing, atau rekayasa sosial lainnya.”
Gutmann melanjutkan dengan menulis bahwa fitur ini dapat menyebabkan masalah untuk validasi transaksi terkait bank:
Otentikasi transaksional, sebagai lawan dari otentikasi pengguna, membuktikan kebenaran maksud tindakan dan bukan hanya identitas pengguna. Ini paling banyak dikenal di sektor perbankan online dan khususnya merupakan cara untuk memenuhi persyaratan Petunjuk Layanan Pembayaran (PSD2) yang direvisi dari UE tentang penautan dinamis, di mana ini adalah alat yang penting untuk melindungi dari serangan canggih.
Verifikasi pengguna atas informasi yang luar biasa inilah yang memberikan manfaat keamanan. Menghapusnya dari proses membuatnya tidak efektif. Contoh di mana IsiOtomatis Kode Keamanan dapat menimbulkan risiko terhadap keamanan perbankan online termasuk serangan Man-in-the-Middle terhadap pengguna yang mengakses perbankan online dari Safari di MacBook mereka, memberikan kartu bidang input yang diperlukan jika diperlukan, atau di mana situs web berbahaya atau app mengakses layanan perbankan online yang sah bank.
Sumber: 9to5mac
