Google ansluter sig till AppleSMS-säkerhetsförslaget

Tidigare i år delade Apples ingenjörer ett smart nytt förslag som kan hjälpa till att göra tvåfaktorsautentiseringssystem betydligt säkrare, och nu ser det ut som att idén tar fart. Med andra tungviktare på Internet, inklusive stöd från Google och Web Incubator Community Group .

Idén lanserades ursprungligen i januari av ingenjörer på AppleWebKit – teamet som utvecklar kärntekniken som används av AppleSafari-webbläsare – och beskriver en metod genom vilken engångskoder skickas via SMS. kan på ett tillförlitligt sätt kopplas till de tjänster de faktiskt kommer från .

Om du inte är bekant med termen hänvisar tvåfaktorsautentisering vanligtvis till att använda något annat än ditt lösenord för att logga in på en onlinetjänst – vanligtvis en kod som skickas till din telefon eller skapad av ett program. Den här funktionen kallas ibland även för “tvåstegsverifiering”, men om du inte är en säkerhetsproffs betyder de två praktiskt taget samma sak.

Chansen är stor att du redan använder tvåfaktorsautentisering via SMS, även om du inte känner till namnet, eftersom det i princip bara är en bra återgivning av de textmeddelanden som många onlinetjänster skickar till din telefon när de vill att du ska bekräfta att det är verkligen du som försöker logga in på något som ditt onlinebanksystem eller ditt Amazon- eller e-postkonto.

Medan vissa leverantörer, inklusive Apple, ofta använder mer sofistikerade former av tvåfaktorsautentisering, använder i vissa fall till och med fysiska säkerhetsnycklar istället för enkla koder, men alla de säkraste systemen låter dig fortfarande ta emot textmeddelanden om andra metoder inte gör det. arbeta för att minska risken för att användare låses ute från sina konton.

problem

Problemet med att använda textmeddelanden är att de verkligen är mottagliga för ett antal säkerhetsproblem. Den första är problemet med SIM-aktivering, som innebär att hackare överför ditt telefonnummer till en enhet de äger så att de kan fånga alla SMS-meddelanden som normalt skickas till dig. När hackare kan ta emot dina textmeddelanden kan de i princip komma åt vilket konto som helst som använder ditt telefonnummer som en sekundär eller backupmetod, vanligtvis genom att helt enkelt återställa ditt lösenord.

Naturligtvis är detta en riktad attack som kräver lite ansträngning från hackare för att spåra dig specifikt, och det finns inte mycket Apple eller något annat stort teknikföretag kan göra. Detta är förutom att helt förbjuda SMS, som Google gör med Avancerat skydd.

Men det finns andra och vanligare attacker som är mer lömska som Apples förslag omfattar, inklusive “phishing”-attacker som försöker få användare att ange lösenord och annan information genom att skicka ett sms. text som innehåller falska länkar, samt “man- in-the-middle attacks” (MitM) där hackare försöker få dig att ange en legitim tvåfaktorskod på en falsk webbplats.

Apple-lösning

AppleWebKit-ingenjörer föreslår en ny standard som skulle tillåta onlinetjänster, mobilmeddelandeappar och webbläsare att kommunicera mer effektivt för att avgöra om SMS-koder ska vara pålitliga:

Kom sms:et från en legitim webbplats? Stämmer faktiskt sidan som skrev in koden med sidan som skickade meddelandet?

I så fall skulle det nya förslaget vara en säkrare förlängning av en funktion som återförs till iOS 12 och macOS Mojave för att tillåta att SMS-koder automatiskt fylls i i Safari. Även om detta är en enorm tidsbesparing genom att spara användarna besväret med att hitta kod och sedan manuellt kopiera och klistra in den, finns det inget sätt att länka den till en specifik webbplats. I värsta fall behöver användare bara ange en säkerhetskod för att en skadlig webbplats ska fångas av hackare.

Naturligtvis har Apple en större andel i att göra den här processen säkrare och rekommenderar för detta ändamål helt enkelt att alla SMS-autentiseringsmeddelanden använder ett standardformat som tydligt definierar webbplatsen, i både mänsklig och maskinläsbar form.

747,723 är din Thanh Foo Verifieringskoder. @foobar.com #747,723

Den maskinläsbara raden läses av webbläsaren när du undersöker meddelandeappen på din enhet (till exempel: Safari och meddelande på iOS- eller macOS-enheter) och koden tillhandahålls endast för autofyllning om allt matchar exakt.

Även om den nya lösningen fortfarande inte kommer att hindra användare från att manuellt ange OTP-koder på skadliga webbplatser, kan Safari varna användare om webbplatsen de besöker inte matchar det angivna SMS-meddelandet, med ett starkt råd att de inte fortsätter.

Varsågod

Apple publicerade ursprungligen förslaget på GitHub, och nu visar en uppdatering av det ursprungliga inlägget att förslaget har nått status som ett officiellt utkast till specifikation för Platform Incubator Community Team. Web (WICG), vilket är ett viktigt steg i att flytta förslaget fram.

Just nu har Googles Chromium-ingenjörer också skrivit på för att lägga sin vikt bakom förslaget, även om Firefox-utvecklaren Mozilla förblir impopulär vid det här laget. Att ha ett brett plattformsstöd är helt klart nyckeln till att få detta att hända, och även om onlinetjänster fortfarande måste formatera sina textmeddelanden till den rekommenderade standarden kommer de sannolikt att acceptera det. ganska snabbt om alla större webbläsare kommer ut, eftersom det är en relativt liten förändring för de flesta tjänster att göra.

Apple och Google erkänner båda att rekommendationen inte tar itu med alla risker som är förknippade med att skicka ett engångs-SMS, och där det är möjligt rekommenderar vi en säkrare metod för alla högkvalitativa konton. , såsom din onlinebank och e-postkonton. .