Kontoübernahmerisiken mit iOS-Sicherheitscode AutoFill [With Video]

Andreas Gutmann, 23. Februar 2021

In den letzten zwölf Monaten haben sich die Sicherheits- und Cybersicherheitslandschaften für Unternehmen, die Sicherheitscodes per SMS an ihre Kunden senden, zum Zweck der Benutzerauthentifizierung, Transaktionsauthentifizierung oder Gerätebindung erheblich geändert. In diesem Artikel von Andreas Gutmann, Forscher am OneSpan Cambridge Innovation Center, werden die Schritte erläutert, die solche Organisationen unternehmen können, um die Sicherheit ihrer Dienste und der Online-Konten ihrer Benutzer zu verbessern.

Betrug bei der Kontoübernahme (ATO) Ein Betrüger, der unbefugten Zugriff auf das Online-Konto eines Benutzers erhält, ist eine der größten Sicherheitsbedrohungen, denen viele Unternehmen ausgesetzt sind. Zu den häufig verwendeten Methoden zur Kontoübernahme gehören Social Engineering, Man-in-the-Middle-Angriffe, Webbrowser-Angriffe, öffentliche WiFi-Angriffe, Malware über eine Webseite oder einen E-Mail-Anhang sowie das Füllen von Anmeldeinformationen. Die häufigste Verteidigung gegen Betrug bei der Kontoübernahme ist die Verwendung von Sicherheitscodes für die Multi-Faktor-Authentifizierung (MFA) und die Transaktionsauthentifizierung sowie für die Gerätebindung für mobile Anwendungen. Solche Sicherheitscodes werden üblicherweise per SMS an das Mobiltelefon des Verbrauchers gesendet. In der Vergangenheit haben wir entdeckt einzigartige Sicherheitsrisiken beim Umgang von iPhones mit solchen Sicherheitscodes Durch die Verwendung von Autocomplete-Funktionen und Apple wurden einige der gemeldeten Sicherheitslücken beim automatischen Ausfüllen Ende 2020 behoben.

AutoFill-Funktion für Sicherheitscodes in iOS 14: Eine teilweise Korrektur für die Sicherheitsanfälligkeiten in iOS 12

Die Funktion zum automatischen Ausfüllen des Sicherheitscodes in iOS ist eine praktische Funktion, um Reibungsverluste in der Benutzererfahrung zu beseitigen und dadurch die Benutzererfahrung beim Umgang mit Sicherheitscodes zu verbessern, die per SMS an ein iPhone (und MacBook / iMac, wenn Verbraucher SMS zwischen ihren Geräten austauschen) verarbeitet werden. Die Funktion extrahiert automatisch Sicherheitscodes aus der eingehenden SMS und bietet Verbrauchern eine Schnittstelle, über die sie diese Codes mit einem einzigen Tastendruck in Websites oder Apps einfügen können.

Abbildung 1: Vorschlag der Funktion zum automatischen Ausfüllen des Sicherheitscodes in iOS zum Ausfüllen des Sicherheitscodes 834956 in ein Formularfeld auf einer Website (in diesem Bild nicht dargestellt) durch einmaliges Tippen auf den Vorschlag zum automatischen Ausfüllen über der Tastatur.

Abbildung 1: Vorschlag der Funktion zum automatischen Ausfüllen des Sicherheitscodes in iOS zum Ausfüllen des Sicherheitscodes 834956 in ein Formularfeld auf einer Website (in diesem Bild nicht dargestellt) durch einmaliges Tippen auf den Vorschlag zum automatischen Ausfüllen über der Tastatur.

Entscheidend ist, dass Verbraucher ihre SMS-Anwendung nicht mehr öffnen und die SMS lesen müssen, wenn sie einem Vorschlag zum automatischen Ausfüllen folgen. Der Vorschlag zum automatischen Ausfüllen selbst enthält jedoch keine wesentlichen Kontextinformationen zu den empfangenen Sicherheitscodes, die aus der SMS gelesen werden könnten. Infolgedessen wissen Verbraucher möglicherweise nicht, wer ihnen zu welchem Zweck einen Sicherheitscode gesendet hat. Diese Umstände können von böswilligen Akteuren ausgenutzt werden, wie wir zuvor gezeigt haben Hier .

Anschließend wurde die Funktion zum automatischen Ausfüllen des Sicherheitscodes mit der Veröffentlichung von iOS 14 Ende 2020 um eine Sicherheitstechnologie namens Domain Binding erweitert. Auf diese Weise kann der Absender einer SMS die Website angeben, auf der ein Sicherheitscode eingefügt werden soll. Wenn diese Spezifikation in der SMS nicht vorhanden ist, kann die Funktion zum automatischen Ausfüllen des Sicherheitscodes das Einfügen des Sicherheitscodes in eine beliebige Website vorschlagen. Die erforderliche Syntax für die Domänenbindung von Sicherheitscodes in SMS wird in der folgenden Abbildung dargestellt:

Abbildung 2: Darstellung der Syntax, die für die Domänenbindung mit dem Sicherheitscode AutoFill erforderlich ist. Die erste Zeile ist für Menschen lesbarer Text, der für Verbraucher bestimmt ist, die ihre SMS-Anwendung öffnen und den Sicherheitscode manuell kopieren. Die zweite Zeile ist maschinenlesbarer Code, wobei@example .com bezieht sich auf die Webdomain von https://example.com und # 123456 ist ein Sicherheitscode für diese Domain.

Abbildung 2: Darstellung der Syntax, die für die Domänenbindung mit dem Sicherheitscode AutoFill erforderlich ist. Die erste Zeile ist für Menschen lesbarer Text, der für Verbraucher bestimmt ist, die ihre SMS-Anwendung öffnen und den Sicherheitscode manuell kopieren. Die zweite Zeile ist maschinenlesbarer Code, [email protected] .com bezieht sich auf die Webdomain von https://example.com und # 123456 ist ein Sicherheitscode für diese Domain.

Beachten Sie, dass iOS 14 die folgenden Geräte nicht unterstützt: iPhone 5S, iPhone 6 und iPhone 6 Plus. Diese Geräte bleiben anfällig und profitieren nicht von Apples teilweiser Korrektur durch die Integration der Domänenbindungstechnologie.

Das folgende Video ist eine Aufzeichnung eines Vortrags, den ich zu diesem Thema an der Northumbria University in Großbritannien gehalten habe. In diesem Vortrag gehe ich näher auf die Sicherheitslücken in iOS und die von Apple implementierte Teilkorrektur ein.

Verbesserungen für die Multi-Faktor-Authentifizierung

Anwendungsfälle für die Multi-Faktor-Authentifizierung sind die Hauptnutznießer der Erweiterung der AutoFill-Funktion für Sicherheitscodes um die Domänenbindungstechnologie. Unternehmen, die per SMS übermittelte Sicherheitscodes verwenden, um den Schutz bei der Anmeldung auf der Website ihrer Kunden zu verbessern, können die Funktion zum automatischen Ausfüllen des Sicherheitscodes mit Domänenbindung verwenden, um ein nutzbares und sicheres Kundenerlebnis zu bieten.

Sicherheitstipp:

Unternehmen mit solchen Anwendungsfällen sollten die Domänenbindungstechnologie nutzen und das Layout ihrer entsprechenden SMS anpassen. Für den (seltenen) Fall, dass Unternehmen Sicherheitscodes per SMS für MFA in mobilen Anwendungen verwenden, habe ich unten einen zusätzlichen Sicherheitstipp hinzugefügt.

Notwendige Änderungen für die Gerätebindung

Die von Apple implementierte Domänenbindungstechnologie unterstützt keine Anwendungsfälle für mobile Anwendungen auf iPhones, dh Unternehmen können nur Websites, nicht jedoch mobile Anwendungen als Speicherort für einen Sicherheitscode angeben. Daher können Vorschläge zum automatischen Ausfüllen solcher Sicherheitscodes auf anderen Anwendungen und Websites wie Phishing-Websites angezeigt werden.

Sicherheitstipp:

Um dieses Problem zu beheben, können Unternehmen die entsprechende SMS so formulieren, dass die Sicherheitscodes von iOS nicht als Sicherheitscodes erkannt werden. Unternehmen können verschiedene Layouts bewerten, indem sie SMS an sich selbst senden. Wenn der Sicherheitscode mit einer dünnen grauen Linie unterstrichen ist, erkennt iOS ihn als Sicherheitscode. Beispielsweise können Organisationen ein paar Buchstaben voranstellen, die ihre Organisation mit ihren Sicherheitscodes in SMS identifizieren, und diese Buchstaben in das entsprechende Formularfeld vorab ausfüllen, in das sie vom Kunden eingegeben werden sollen. Eine solche Implementierung für Bank A könnte "BA-124680" verwenden, wenn der Sicherheitscode "124680" übertragen wird, und dann die Symbole "BA-" in das entsprechende Formularfeld in ihrer Anwendung vorab ausfüllen. Obwohl iOS solche Konstrukte derzeit nicht als Sicherheitscodes erkennt, können wir nicht ausschließen, dass sich dies in Zukunft ändern könnte. Daher müssen solche Entwicklungen aktiv überwacht werden.

Auswirkungen auf die Transaktionsauthentifizierung

Die Transaktionsauthentifizierung ist der am wenigsten unterstützte Anwendungsfall für die Funktion zum automatischen Ausfüllen von Sicherheitscodes und birgt das größte Risiko für Unternehmen, die Sicherheitscodes per SMS bereitstellen.

Das erste Problem ist, dass die Domänenbindungstechnologie nicht geeignet ist, typische Sicherheitsrisiken im Zusammenhang mit der Transaktionsauthentifizierung zu verringern, bei denen das Hauptproblem der Sicherheit eher die Transaktionsmanipulation als das Phishing ist. Da die Funktion zum automatischen Ausfüllen des Sicherheitscodes Sicherheitscodes dekontextualisiert, können Benutzer weiterhin nicht überprüfen, ob ihre Transaktionen bei Verwendung dieser Funktion nicht manipuliert wurden.

Ein weiteres Problem besteht darin, dass, wenn die Funktion zum automatischen Ausfüllen des Sicherheitscodes einen Geldbetrag in einer erkannten Währung erkennt, dieser Betrag neben dem Vorschlag zum automatischen Ausfüllen angezeigt wird, die Funktion jedoch nicht viele Währungen erkennt. Infolgedessen können sich Kunden in einem Land mit einer anerkannten Währung (z. B. in Großbritannien) daran gewöhnen, diese Informationen zu sehen, wenn sie eine Transaktion autorisieren. Sollte ein Gegner bei der Manipulation einer Transaktion die Währung in eine nicht erkannte Währung ändern (z. B. die Währung von Pfund Sterling GBP in schwedische Kronen SEK ändern), könnte der Kunde getäuscht werden, dies sei ein Code für die Multi-Faktor-Autorisierung.

Abbildung 3: Das Bild auf der linken Seite zeigt einen Vorschlag zum automatischen Ausfüllen eines Sicherheitscodes für die Transaktionsautorisierung, der mit einer Transaktion im Wert von 100 GBP verknüpft ist. Das Bild auf der rechten Seite zeigt einen Vorschlag zum automatischen Ausfüllen eines Sicherheitscodes für die Transaktionsautorisierung, der mit einer Transaktion im Wert von 1500 SEK verknüpft ist.

Abbildung 3: Das Bild auf der linken Seite zeigt einen Vorschlag zum automatischen Ausfüllen eines Sicherheitscodes für die Transaktionsautorisierung, der mit einer Transaktion im Wert von 100 GBP verknüpft ist. Das Bild auf der rechten Seite zeigt einen Vorschlag zum automatischen Ausfüllen eines Sicherheitscodes für die Transaktionsautorisierung, der mit einer Transaktion im Wert von 1500 SEK verknüpft ist.

Sicherheitstipp:

Unternehmen könnten entsprechende SMS so formulieren, dass die Sicherheitscodes für die Transaktionsautorisierung von iOS nicht als Sicherheitscodes erkannt werden. Weitere Informationen zu diesem Ansatz finden Sie oben in den Sicherheitstipps für Anwendungsfälle zur Gerätebindung.

Darüber hinaus sollten Sie stärkere Sicherheitsmechanismen als per SMS gesendete Sicherheitscodes verwenden:

  • Für die Transaktionsauthentifizierung im Online-Banking Software- oder Hardware-basierte Authentifikatoren könnte verwendet werden.
  • Für die Transaktionsauthentifizierung bei Online-Zahlungen können anstelle von Sicherheitscodes per SMS Out-Of-Band-Authentifizierung (OOB) oder In-App-Codes für die Transaktionsauthentifizierung verwendet werden.
Betrug durch Account-Übernahme: Wie Sie Ihre Kunden und Ihr Unternehmen schützen
WEISSES PAPIER

Betrug durch Account-Übernahme: Wie Sie Ihre Kunden und Ihr Unternehmen schützen

Dieses eBook bietet eine Aufschlüsselung der Betrugstechniken für die Übernahme von Top-Konten und behandelt den mehrschichtigen Sicherheitsansatz, der zum Schutz der Konten Ihrer Kunden erforderlich ist.

Kontoübernahme stoppen

Andreas ist Forscher am OneSpan Cambridge Innovation Center und arbeitet an der Schnittstelle von FinTech mit Benutzerfreundlichkeit, Sicherheit und Datenschutz. Er ist Marie Skłodowska-Curie Actions Fellow der Europäischen Kommission und promoviert derzeit am University College London.