Защитный код AutoFill: эта новая функция iOS представляет угрозу безопасности для онлайн-банкинга?

Предполагается, что новая функция для iPhone в iOS 12 - автозаполнение кода безопасности - улучшит удобство двухфакторной аутентификации, но может подвергнуть пользователей риску стать жертвой мошенничества в онлайн-банках.

Двухфакторная аутентификация (2FA), которую часто называют двухэтапной верификацией, является важным элементом для многих систем безопасности, особенно тех, которые подключены к сети и имеют удаленный доступ. В большинстве случаев он обеспечивает расширенную безопасность, проверяя, есть ли у пользователя доступ к устройству. Например, в 2FA на основе SMS пользователь регистрирует свой номер телефона в онлайн-сервисе. Когда эта служба видит попытку входа в систему для соответствующей учетной записи пользователя, она отправляет одноразовый пароль (OTP), например, от четырех до шести цифр, на зарегистрированный номер телефона. Законный пользователь затем получает этот код и может заключить его в кавычки в процессе входа в систему, но подражатель этого не сделает.

В недавней разработке Apple, объявленной на конференции разработчиков WWDC18 они намерены автоматизировать этот последний шаг для улучшения взаимодействия с пользователем 2FA с помощью новой функции, которая должна быть введена в iOS в версии 12. Функция автозаполнения кода безопасности , доступная в настоящее время разработчикам в бета-версии, позволит мобильным устройство для сканирования входящих SMS-сообщений на наличие таких кодов и предлагать их в верхней части клавиатуры по умолчанию.

Предполагается, что новая функция для iPhone в iOS 12 - автозаполнение кода безопасности - улучшит удобство двухфакторной аутентификации, но может подвергнуть пользователей риску стать жертвой мошенничества в онлайн-банках

Описание новой функции автозаполнения кода безопасности iOS 12 (источник: яблоко )

В настоящее время эти коды SMS полагаются на пользователя, активно переключающего приложения и запоминающего код, что может занять пару секунд. Некоторые пользователи используют альтернативные стратегии, такие как запоминание кода из баннера предварительного просмотра и быстрое его ввод. Новая функция Apple от iOS потребует от пользователя лишь одного нажатия. Это сделает процесс входа быстрее и менее подвержен ошибкам, что значительно улучшит удобство использования 2FA. Это также может привести к увеличению потребления 2FA среди пользователей iPhone.

Пример функции автозаполнения кода безопасности на iPhone (источник: яблоко )

Если пользователи синхронизируют SMS со своими MacBook или iMac, существующая функция пересылки текстовых сообщений будет выталкивать коды со своего iPhone и включать автозаполнение кода безопасности в Safari.

Пример функции автозаполнения кода безопасности, синхронизированной с macOS Mojave (источник: яблоко )

Снижение трения во взаимодействии с пользователем, чтобы улучшить освоение технологий для новых пользователей и повысить удобство использования и удовлетворенность для существующих пользователей, не является новой концепцией. Это не только подробно обсуждалось в научных кругах, но также является общей целью в отрасли, например, в банковской сфере. Это видно по тому, как финансовый а также оплата промышленность поощряет бесконтактные платежи (Near Field Communication - NFC), что делает транзакции ниже определенного порога намного быстрее, чем традиционные платежи с использованием чипа и PIN.

Как архитекторы и дизайнеры, особенно в области компьютерной безопасности, мы знаем, что при внесении изменений в одну часть системы нам необходимо оценить, как это влияет на каждую другую часть, с которой она взаимодействует. В случае с предстоящей функцией автозаполнения кода безопасности в iOS 12 это включает не только 2FA, но также номера аутентификации транзакций (TAN).

Аутентификация транзакции, в отличие от аутентификации пользователя, используется для подтверждения правильности намерения действия, а не только для идентификации личности пользователя. Это наиболее широко известно из онлайн-банкинга, где это важный инструмент для защиты от сложных атак. Например, злоумышленник может попытаться обмануть жертву, чтобы она перевела деньги на другой счет, нежели тот, который предназначался. Для достижения этого противник может использовать методы социальной инженерии, такие как фишинг и фишинг и / или инструменты, такие как Вредоносная программа Man-in-the-Browser ,

Аутентификация транзакции используется для защиты от этих злоумышленников. Существуют различные методы, но один из них имеет отношение к делу - который является одним из наиболее распространенных методов, используемых в настоящее время - банк суммирует существенную информацию любого запроса транзакции, дополняет эту сводку TAN с учетом этой информации и отправляет эти данные в зарегистрированный номер телефона через SMS. Пользователь или клиент банка в этом случае должен проверить сводку и, если эта сводка соответствует его или ее намерениям, скопировать TAN из SMS-сообщения на веб-страницу.

Пользователь или клиент банка в этом случае должен проверить сводку и, если эта сводка соответствует его или ее намерениям, скопировать TAN из SMS-сообщения на веб-страницу

Слева: TAN по SMS для онлайн-банкинга. Справа: ОТП по СМС для входа.

OTP на основе SMS, использованный для проверки подлинности 2FA или транзакции, подвергся критике за то, что он не является наиболее безопасным выбором технологии. Например, в последние годы Национальный институт стандартов и технологий (NIST) изначально публичная критика СМС как средство связи для безопасной аутентификации, помечая ее как небезопасную и непригодную для строгой аутентификации. Однако в последнее время они смягчили свой язык и вместо устарела СМС 2FA , Тем не менее, это все еще считается достаточно безопасно будет использоваться для строгой аутентификации клиентов в новом ЕС Директива об оплате услуг 2 ,

Эта новая функция iOS создает проблемы для использования SMS в аутентификации транзакций. Применительно к 2FA пользователю больше не нужно открывать и читать SMS-сообщения, из которых код уже был извлечен и представлен в удобном виде. Код обнаруживается в сообщении на основе эвристики, такой как близость к словам «код» или «код доступа», которые используются в сообщениях, доставляющих коды 2FA и TAN. После этого предлагается автозаполнение кода безопасности на веб-странице или в приложении, если поле ввода помечено соответствующим образом.

Если эта функция не сможет надежно различить OTP в 2FA и TAN при аутентификации транзакций, мы можем ожидать, что пользователи также извлекут и представят свои TAN без контекста существенной информации, например суммы и назначения транзакции. Тем не менее, именно проверка этой важной информации имеет важное значение для безопасности. Примеры, в которых код безопасности автозаполнения может представлять риск для безопасности онлайн-банкинга, включают в себя атаку «Человек посередине» на пользователя, получающего доступ к онлайн-банкингу из Safari на своем MacBook, внедрения нужного тега поля ввода, если это необходимо, или места, где вредоносный сайт или приложение получает доступ к законной банковской службе банка.

Даже если новая функция автозаполнения кода безопасности может различать эти SMS-сообщения, пользователи неизбежно привыкнут к удобству этой функции. Они могут вполне разумно ожидать аналогичного удобства от других технологий безопасности, не осознавая, что это может быть нереально. Это, в свою очередь, может препятствовать внедрению более безопасных технологий, таких как преданный аппаратные средства жетоны в аутентификации транзакции.

Мы воодушевлены ожидаемым улучшением удобства использования 2FA и надеемся, что это побудит больше пользователей iOS принять 2FA. Но в качестве социально-технической среды мы вряд ли можем предсказать будущее. Проверка подлинности транзакций на основе SMS вполне может оставаться устоявшейся технологией в онлайн-банках, поскольку банки несут ответственность за клиентов, если они не проверяют информацию о транзакциях. Является ли обоснованным возложение бремени на пользователей, которые ведут себя так, как поощряется технологиями, является философским и правовой вопрос.

В OneSpan а также Университетский колледж Лондона В настоящее время мы изучаем взаимодействие между удобством использования, трением и безопасностью аутентификации транзакций. Этот проект сфокусирован на том, как неправильные представления могут быть связаны со свойствами безопасности. Мы оцениваем современные технологии и исследуем возможные улучшения. Этот проект финансируется исследовательской и инновационной программой Horizon 2020 Европейского Союза в рамках грантового соглашения Марии Склодовской-Кюри № 675730.

Обновление (2018-06-13): после обсуждения с комментариями Винсента Хауперта я обновил статью, добавив больше информации о том, как автозаполнение кода может быть использовано при атаке, добавил ссылки на конференцию разработчиков Apple WWDC18 и обновил встроенные картинки.