Un chercheur s’inquiète de la nouvelle fonction de remplissage automatique du code de sécurité d’iOS 12

Avec iOS 12 et macOS Mojave, Apple a introduit une nouvelle fonction de remplissage automatique de code de sécurité qui facilite la gestion des codes d’authentification à deux facteurs envoyés par SMS. Un chercheur en sécurité, cependant, a publié une nouvelle pièce détaillant certaines préoccupations de fraude potentielles avec la fonctionnalité ..

Dans notre couverture initiale de la fonctionnalité, nous avons noté que le SMS à deux facteurs n’est pas la forme la plus sûre d’authentification à deux facteurs. Aujourd’hui, Andreas Gutmann , chercheur au Cambridge Innovation Center de OneSpan, approfondit les problèmes de sécurité liés à la nouvelle fonction de remplissage automatique d’Apple.

Code de sécurité AutoFill est une nouvelle fonctionnalité pour iPhones dans iOS 12. Il est censé améliorer l’utilisabilité de l’authentification à deux facteurs, mais pourrait exposer les utilisateurs à la fraude bancaire en ligne en supprimant la validation humaine du processus de signature / authentification.

Le processus de validation humaine, explique Gutmann, est un aspect important de l’authentification à deux facteurs. Sans cela, un utilisateur pourrait être plus vulnérable aux attaques « man-in-the-middle, phishing ou autres attaques d’ingénierie sociale ».

Gutmann continue à écrire que la fonctionnalité pourrait causer des problèmes pour l’authentification des transactions par rapport à la banque :

L’authentification de transaction, par opposition à l’authentification de l’utilisateur, atteste de la justesse de l’intention d’une action plutôt que de l’identité d’un utilisateur. Il est le plus connu dans les services bancaires en ligne, et en particulier en tant que moyen de répondre aux exigences de la directive européenne sur les services de paiement révisés (PSD2) pour la liaison dynamique, un outil essentiel pour se défendre contre des attaques sophistiquées.

Le fait qu’un utilisateur vérifie cette information saillante est précisément ce qui fournit l’avantage de sécurité. Enlever cela du processus le rend inefficace. Les exemples dans lesquels le code de sécurité AutoFill peut représenter un risque pour la sécurité bancaire en ligne incluent une attaque Man-in-the-Middle sur l’utilisateur qui accède aux services bancaires en ligne depuis Safari sur son MacBook, en injectant le champ de saisie nécessaire si nécessaire. ou l’application accède au service bancaire en ligne légitime de la banque.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 11 |

Actu en image