SMS-коды в iOS 14 должны стать более безопасными

iOS версии 12 имеет практическую функцию, которая упрощает использование номеров TAN для SMS. Операционная система распознает получение нового PIN-кода или кода и предлагает вставить его непосредственно в приложение или на веб-сайт. Как бы удобна ни была эта функция — в прошлом часто критиковали вспомогательное средство, также известное как автозаполнение SMS. Исследователь безопасности предупредил еще в 2018 году, что реализация Apple может, по крайней мере теоретически, использоваться для атак типа «злоумышленник в середине» на процедуры безопасности, такие как фишинг для доступа к финансовым данным.

В iOS 14, которая выйдет осенью, должна быть улучшена безопасность. Планируется процедура под названием «Код, связанный с доменом». Это должно позволить связать SMS TAN с определенным веб-доменом. Эта функция также реализована в macOS 11, также известном как Big Sur, где также доступно автозаполнение по SMS.

Больше с Mac & i

Больше с Mac & i

При таком подходе операционная система проверяет, соответствует ли код запрашивающему приложению / веб-сайту. Если это не так, Автозаполнение выполняться не будет. Например, если код принадлежит facebook.com, в iOS 14 и macOS 11 Big Sur его можно вставить только в соответствующий веб-сайт или соответствующее приложение, в котором хранится домен. Это сделано для предотвращения фишинговых атак с помощью автозаполнения SMS. Однако, чтобы это сработало, разработчики должны немного изменить двухфакторную аутентификацию — SMS-TAN также должен содержать домен. Поэтому недавно внедренный стандарт Apple легко реализовать.

SMS-TAN, заканчивающийся на «@ example.com # 123456», взаимодействует только с example.com, но не с example.net. Поэтому автозаполнение по SMS не предлагается для фальшивого (например, фишингового) веб-сайта. Однако Apple изначально не будет применять коды, привязанные к домену.

Автозаполнение SMS также работает в iOS 14 и macOS 11, как обычно, с «обычными» номерами TAN для SMS. Группа рекомендует своим разработчикам использовать новую функцию. Еще неизвестно, будет ли он введен принудительно в какой-то момент — это имело бы смысл с точки зрения безопасности.