Neue iOS 12-Funktionsrisiken, die Benutzer Online-Banking-Betrug aussetzen
Sicherheitscode AutoFill ist eine neue Funktion für iPhones in iOS 12. Es soll die Benutzerfreundlichkeit der Zwei-Faktor-Authentifizierung verbessern, könnte jedoch Benutzer Online-Banking-Betrug aussetzen, indem der Aspekt der menschlichen Validierung des Transaktionssignierungs- / Authentifizierungsprozesses entfernt wird.
Die Zwei-Faktor-Authentifizierung (2FA), die häufig als zweistufige Überprüfung bezeichnet wird, ist ein wesentliches Element vieler Sicherheitssysteme, insbesondere für Online-Transaktionen und Fernzugriff. In den meisten Fällen bietet 2FA erweiterte Sicherheit, indem überprüft wird, ob der Benutzer Zugriff auf ein mobiles Gerät hat. In SMS-basiertem 2FA registriert ein Benutzer beispielsweise seine Telefonnummer bei einem Onlinedienst. Wenn dieser Dienst einen Anmeldeversuch für das entsprechende Benutzerkonto sieht, sendet er ein Einmalkennwort (OTP), z. B. vier bis sechs Ziffern, an die registrierte Telefonnummer. Der legitime Benutzer erhält diesen Code und kann ihn während des Anmeldevorgangs eingeben - etwas, auf das ein Imitator keinen Zugriff hat.
Bei der WWDC18 Auf der Entwicklerkonferenz im Juni gab Apple bekannt, dass dieser letzte Schritt des 2FA-Prozesses in iOS 12 automatisiert wird, um die Benutzererfahrung zu verbessern. Das Sicherheitscode AutoFill Mit dieser Funktion, die Entwicklern derzeit in einer Beta-Version zur Verfügung steht, kann das mobile Gerät eingehende SMS-Nachrichten nach solchen Codes durchsuchen und sie oben auf der Standardtastatur vorschlagen.
Beschreibung von neu Sicherheitscode AutoFill Feature
(Quelle: Apfel )
Verbesserung der SMS-basierten 2FA-Benutzererfahrung
Derzeit sind diese SMS-Codes darauf angewiesen, dass der Benutzer die Apps aktiv wechselt und den Code speichert. Dies kann einige Sekunden dauern. Einige Benutzer versuchen, den Code aus dem Vorschau-Banner zu speichern und dann einzugeben. Die neue iOS-Funktion von Apple erfordert ein einziges Tippen des Benutzers, um den Sicherheitscode automatisch einzugeben. Dies beschleunigt den Anmeldevorgang und reduziert Fehler, was die Benutzerfreundlichkeit von 2FA erheblich verbessert. Es könnte auch die Akzeptanz von 2FA bei iPhone-Nutzern erhöhen.
Beispiel von Sicherheitscode AutoFill Funktion in Betrieb auf dem iPhone (Quelle: Apfel )
Wenn Benutzer SMS mit ihrem MacBook oder iMac synchronisieren, ist das vorhandene vorhanden Weiterleitung von Textnachrichten Die Funktion überträgt auch Codes von ihrem iPhone und aktiviert sie Sicherheitscode AutoFill in Safari.
Beispiel von Sicherheitscode AutoFill Funktion synchronisiert mit macOS Mojave (Quelle: Apfel )
Es ist kein neues Konzept, die Reibung bei der Benutzerinteraktion zu verringern, um die Akzeptanz von Technologien durch neue Benutzer zu verbessern und die Benutzerfreundlichkeit und Zufriedenheit bestehender Benutzer zu erhöhen. Es wurde in der Wissenschaft ausführlich diskutiert und ist auch ein gemeinsames Ziel in der Industrie, z. B. bei Bank- und Finanzdienstleistungen. Dies zeigt sich darin, wie die finanziell und Zahlungen Industrie hat kontaktlose Zahlungen (Near Field Communication oder NFC) gefördert, wodurch Transaktionen unter einem bestimmten Schwellenwert viel schneller als bei herkömmlichen Chip- und PIN-Zahlungen erfolgen.
iOS 12 Sicherheitscode AutoFill Funktion könnte Banken und Benutzer Betrug aussetzen
Als Architekten und Designer, insbesondere im Bereich der Computersicherheit, wissen wir, dass wir bei Änderungen an einem Teil eines Systems bewerten müssen, wie sich dies auf jeden anderen Teil auswirkt, mit dem es interagiert. Im Falle der kommenden Sicherheitscode AutoFill Die Funktion in iOS 12 macht SMS-basiertes 2FA für Benutzer zwar bequemer, kann jedoch die Sicherheitsvorteile von Transaktionssignaturen und TANs (Transaction Authentication Numbers) zunichte machen.
Die Transaktionsauthentifizierung bestätigt im Gegensatz zur Benutzerauthentifizierung die Richtigkeit der Absicht einer Aktion und nicht nur die Identität eines Benutzers. Es ist am bekanntesten im Online-Banking und insbesondere als ein Weg, um die Anforderungen der EU-Richtlinie über überarbeitete Zahlungsdienste (PSD2) zu erfüllen dynamische Verknüpfung , wo es ein wesentliches Werkzeug ist, um sich gegen raffinierte Angriffe zu verteidigen. Zum Beispiel kann ein Gegner versuchen, ein Opfer dazu zu bringen, Geld auf ein anderes Konto als das beabsichtigte zu überweisen. Um dies zu erreichen, kann der Gegner Social-Engineering-Techniken wie Phishing und Vishing und / oder Tools wie verwenden Man-in-the-Browser-Malware .
Die Transaktionsauthentifizierung wird verwendet, um sich gegen diese Gegner zu verteidigen. Es gibt verschiedene Methoden, aber bei der hier relevanten Methode, die zu den derzeit am häufigsten verwendeten Methoden gehört, fasst die Bank die Transaktionsdaten zusammen, fügt eine speziell aus diesen Daten erstellte TAN hinzu und sendet beide per SMS an die registrierte Telefonnummer. Der Benutzer oder in diesem Fall der Bankkunde sollte die Zusammenfassung überprüfen und, wenn diese Zusammenfassung seinen Absichten entspricht, die TAN aus der SMS-Nachricht auf der Webseite eingeben.
TAN per SMS für Online-Banking
Kritiker des SMS-basierten OTP, ob für die 2FA- oder Transaktionsauthentifizierung verwendet, haben es als unsicher bezeichnet. Zum Beispiel in den letzten Jahren zunächst das National Institute of Standards and Technology (NIST) öffentlich kritisierte SMS als Kommunikationsmedium für die sichere Authentifizierung, das als unsicher und für eine starke Authentifizierung ungeeignet gekennzeichnet ist. In jüngerer Zeit haben sie jedoch ihre Sprache aufgeweicht und stattdessen veraltete SMS 2FA . Dennoch wird es immer noch berücksichtigt sicher genug zur Verwendung für Strong Customer Authentication (SCA) unter PSD2 .
Wie Sicherheitscode AutoFill Könnte die Sicherheitsvorteile der Transaktionsauthentifizierung zunichte machen
Diese neue iOS-Funktion verursacht Probleme bei der Verwendung von SMS bei der Transaktionsauthentifizierung. Auf 2FA angewendet, müsste der Benutzer die SMS, aus der der Code bereits bequem extrahiert und präsentiert wurde, nicht mehr öffnen und lesen. Der Code wird in einer Nachricht basierend auf Heuristiken wie der Nähe zu den Wörtern "Code" oder "Passcode" erkannt, die in Nachrichten verwendet werden, die 2FA-Codes und TANs gleichermaßen liefern. Sicherheitscode AutoFill auf einer Webseite oder in einer App wird dann vorgeschlagen, wenn das Eingabefeld entsprechend gekennzeichnet ist.
Sofern diese Funktion bei der Transaktionsauthentifizierung nicht zuverlässig zwischen OTPs in 2FA und TANs unterscheiden kann, können wir davon ausgehen, dass Benutzer ihre TANs auch ohne Kontext der Transaktionsdaten extrahieren und präsentieren lassen, z. B. Menge und Ziel der Transaktion.
Die Tatsache, dass ein Benutzer diese wichtigen Informationen überprüft, bietet genau den Sicherheitsvorteil. Wenn Sie dies aus dem Prozess entfernen, wird es unwirksam. Beispiele in denen Sicherheitscode AutoFill Dies könnte ein Risiko für die Sicherheit des Online-Bankings darstellen. Dazu gehört ein Man-in-the-Middle-Angriff auf den Benutzer, der über Safari auf seinem MacBook auf Online-Banking zugreift, das erforderliche Eingabefeld-Tag einfügt, falls erforderlich, oder wenn eine böswillige Website oder App auf das Recht der Bank zugreift Online-Banking-Service.
Wir freuen uns über die erwartete verbesserte Benutzerfreundlichkeit von 2FA und hoffen, dass dadurch mehr iOS-Benutzer zur Einführung von 2FA ermutigt werden. Aber wir können die Zukunft kaum vorhersagen. Die SMS-basierte Transaktionsauthentifizierung ist möglicherweise eine etablierte Technologie im Online-Banking. Banken haften Kunden, wenn sie die Transaktionsinformationen nicht überprüfen. Ob es gerechtfertigt ist, Benutzer zu belasten, die sich wie von der Technologie ermutigt verhalten, ist sowohl philosophisch als auch philosophisch legal Frage.
Überlegungen zu Bankanwendungsfällen
Da Banken weiterhin Verbesserungen des Kundenerlebnisses mit dem Schutz ihrer Institute und Benutzer vor Betrug in Einklang bringen, sollten sie sich über das Neue im Klaren sein Sicherheitscode AutoFill Feature. Wir empfehlen Banken, bei Anwendungsfällen für die Transaktionsauthentifizierung Folgendes zu berücksichtigen:
- Informieren Sie Ihre Kunden weiterhin darüber, wie wichtig es ist, ihre Transaktionsdetails bei der Authentifizierung einer Transaktion sorgfältig zu überprüfen, insbesondere für diejenigen, die TANs auf einem iPhone erhalten
- Vermeiden Sie die Aktivierung des Sicherheitscode AutoFill Funktion für Felder zur Eingabe von TANs für die Transaktionsauthentifizierung
- Implementieren Sie fortgeschrittenere Authentifizierung Technologien wie Biometrie (z. B. Fingerabdruck, Gesicht, Verhalten), Out-of-Band-Technologie (nicht SMS-basiert) und / oder Push-Benachrichtigung für Transaktionen mit höherem Risiko (z. B. Geldtransfers)
- Schützen Sie mobile Apps vor Kompromissen mit App Shielding und RASP-Technologie (Runtime Application Self Protection)
Laden Sie dieses Whitepaper herunter, um weitere Informationen zum Sichern der Transaktionssignatur zu erhalten:
https://www.onespan.com/solutions/psd2-which-strong-authentication-and-transaction-solutions-comply
WEISSES PAPIER
PSD2: Welche starken Authentifizierungs- und Transaktionslösungen entsprechen?
Entdecken Sie die wichtigsten Anforderungen aus dem endgültigen RTS und welche Authentifizierungslösungen die Anforderungen am wahrscheinlichsten erfüllen.
Jetzt herunterladenWissen
Dieser Artikel wurde erstmals von Andreas Gutmann am veröffentlicht Benthams Blick , ein Blog von Forschern der Informationssicherheit am University College London. Besonderer Dank geht an Vincent Haupert für seine Kommentare zum Originalartikel. Wir haben diesen Artikel seitdem mit weiteren Informationen darüber aktualisiert, wie AutoFill für sicheren Code könnte in einem Angriff, Apples Entwicklerkonferenz WWDC18 und den eingebetteten Bildern verwendet werden.
