Con iOS 12 e macOS Mojave, Apple ha introdotto una nuova funzionalità di sicurezza relativa ai codici chiamata “Riempimento Automatico dei Codici di Sicurezza”. Questa in pratica ha lo scopo di migliorare la gestione dell’autenticazione a due fattori con l’invio del codice tramite SMS. Un ricercatore di sicurezza, tuttavia, ha pubblicato un articolo in cui spiega quali siano i potenziali pericoli di questa novità.

L’approfondimento sulla nuova funzione di auto-fill introdotta da Apple arriva da Andreas Gutmann, un ricercatore del Cambridge Innovation Centre:

Riempimento Automatico dei Codici di Sicurezza è una nuova funzione per iPhone di iOS 12. Questa dovrebbe migliorare l’utilizzo dell’autenticazione a due fattori, ma potrebbe esporre gli utenti a frodi relative all’online banking rimuovendo l’aspetto umano dal processo di transazione accesso/autenticazione.

Il processo di convalida in cui è coinvolto l’essere umano, spiega Gutmann, è un importante aspetto dell’autenticazione a due fattori. Senza questo, per un utente potrebbero aumentare i pericoli di phishing o di altri tipi di attacchi:

L’autenticazione della transazione, rispetto all’autenticazione dell’utente, attesta la correttezza di una intenzione di un’azione piuttosto che la semplice identità dell’utente. È ampiamente nota nell’online banking, e in particolare come un metodo per andare incontro ai requisiti PSD2 dell’Unione Europea per il dynamic linking, diventando uno strumento essenziale per difendersi contro attacchi sofisticati.

 

Il fatto che un utente verifichi questa importante informazione è ciò che esattamente garantisce il beneficio della sicurezza. Rimuovendo ciò dal processo, lo si rende inefficace.

Tra gli esempi citati dal ricercatore in cui il Riempimento Automatico dei Codici di Sicurezza possa mettere in pericolo l’online banking troviamo gli attacchi Man-in-the-Middle o siti e/o app potenzialmente pericolose. Potete leggere qui l’intero intervento di Gutmann.