Los nuevos riesgos de las funciones de iOS 12 exponen a los usuarios al fraude bancario en línea
Security Code AutoFill es una nueva característica para iPhones en iOS 12. Se supone que mejora la usabilidad de la autenticación de dos factores, pero podría exponer a los usuarios al fraude bancario en línea al eliminar el aspecto de validación humana del proceso de autenticación / firma de transacciones.
La autenticación de dos factores (2FA), que a menudo se conoce como verificación en dos pasos, es un elemento esencial de muchos sistemas de seguridad, especialmente para transacciones en línea y acceso remoto. En la mayoría de los casos, 2FA proporciona seguridad extendida al verificar si el usuario tiene acceso a un dispositivo móvil. En la 2FA basada en SMS, por ejemplo, un usuario registra su número de teléfono con un servicio en línea. Cuando este servicio ve un intento de inicio de sesión para la cuenta de usuario correspondiente, envía una contraseña de un solo uso (OTP), por ejemplo, de cuatro a seis dígitos, al número de teléfono registrado. El usuario legítimo recibe este código y puede ingresarlo durante el proceso de inicio de sesión, algo a lo que un imitador no tiene acceso.
En el WWDC18 conferencia de desarrolladores en junio, Apple anunció que automatizarán este último paso del proceso 2FA en iOS 12 para mejorar la experiencia del usuario. los Autocompletar código de seguridad La función, actualmente disponible para los desarrolladores en una versión beta, permitirá al dispositivo móvil escanear los mensajes SMS entrantes en busca de dichos códigos y sugerirlos en la parte superior del teclado predeterminado.
Descripción de nuevo Autocompletar código de seguridad característica
(fuente: manzana )
Mejora de la experiencia de usuario 2FA basada en SMS
Actualmente, estos códigos de SMS dependen de que el usuario cambie de aplicación activamente y memorice el código, lo que puede llevar un par de segundos. Algunos usuarios intentan memorizar el código del banner de vista previa y luego lo ingresan. La nueva función iOS de Apple requiere un solo toque del usuario para ingresar automáticamente el código de seguridad. Esto acelerará el proceso de inicio de sesión y reducirá los errores, una mejora significativa en la usabilidad de 2FA. También podría aumentar la adopción de 2FA entre los usuarios de iPhone.
Ejemplo de Autocompletar código de seguridad característica en funcionamiento en iPhone (fuente: manzana )
Además, si los usuarios sincronizan SMS con su MacBook o iMac, el existente Reenvío de mensajes de texto La función también enviará códigos desde su iPhone y habilitará Autocompletar código de seguridad en Safari
Ejemplo de Autocompletar código de seguridad característica sincronizada con macOS Mojave (fuente: manzana )
Reducir la fricción en la interacción del usuario para mejorar la adopción de tecnología por parte de los nuevos usuarios y aumentar la usabilidad y la satisfacción de los usuarios existentes, no es un concepto nuevo. Se ha debatido ampliamente en la academia, y también es un objetivo común dentro de la industria, por ejemplo, en servicios bancarios y financieros. Esto es evidente en cómo el financiero y pagos industria ha alentado los pagos sin contacto (Near Field Communication o NFC), lo que hace que las transacciones por debajo de cierto umbral sean mucho más rápidas que los pagos tradicionales con chip y PIN.
iOS 12 Autocompletar código de seguridad La característica podría exponer a los bancos y usuarios al fraude
Como arquitectos y diseñadores, especialmente en seguridad informática, sabemos que al realizar cambios en una parte de un sistema, debemos evaluar cómo afecta esto a todas las demás partes con las que interactúa. En el caso de la próxima Autocompletar código de seguridad característica en iOS 12, al tiempo que hace que la 2FA basada en SMS sea más conveniente para los usuarios, puede negar los beneficios de seguridad de la firma de transacciones y los Números de autenticación de transacciones (TAN).
La autenticación de transacción, a diferencia de la autenticación de usuario, da fe de la exactitud de la intención de una acción en lugar de solo la identidad de un usuario. Es más conocido en la banca en línea, y en particular como una forma de cumplir con el requisito de la Directiva revisada de servicios de pago (PSD2) de la UE para enlace dinámico , donde es una herramienta esencial para defenderse de ataques sofisticados. Por ejemplo, un adversario puede tratar de engañar a una víctima para que transfiera dinero a una cuenta diferente a la prevista. Para lograr esto, el adversario podría usar técnicas de ingeniería social como phishing y vishing y / o herramientas como Malware Man-in-the-Browser .
La autenticación de transacciones se utiliza para defenderse de estos adversarios. Existen diferentes métodos, pero en el de relevancia aquí, que es uno de los métodos más comunes utilizados actualmente, el banco resumirá los datos de la transacción, agregará un TAN creado específicamente a partir de esos datos y los enviará al número de teléfono registrado por SMS. El usuario, o cliente bancario en este caso, debe verificar el resumen y, si este resumen coincide con sus intenciones, ingresar el TAN del mensaje SMS en la página web.
TAN por SMS para banca en línea
Los críticos de la OTP basada en SMS, ya sea que se use para 2FA o para la autenticación de transacciones, la han calificado de insegura. Por ejemplo, en los últimos años, el Instituto Nacional de Estándares y Tecnología (NIST) inicialmente SMS criticado públicamente como medio de comunicación para la autenticación segura, etiquetándolo como inseguro e inadecuado para una autenticación fuerte. Sin embargo, más recientemente, han suavizado su idioma y en su lugar SMS 2FA en desuso . Sin embargo, todavía se considera lo suficientemente seguro para ser utilizado para Strong Customer Authentication (SCA) bajo PSD2 .
Cómo Autocompletar código de seguridad Podría negar los beneficios de seguridad de la autenticación de transacciones
Esta nueva característica de iOS crea problemas para el uso de SMS en la autenticación de transacciones. Aplicado a 2FA, el usuario ya no necesitaría abrir y leer el SMS del cual el código ya se ha extraído y presentado convenientemente. El código se detecta en un mensaje basado en la heurística, como la proximidad a las palabras 'código' o 'código de acceso', que se utilizan en mensajes que entregan códigos 2FA y TAN por igual. Autocompletar código de seguridad en una página web o en una aplicación, se sugiere si el campo de entrada está etiquetado en consecuencia.
A menos que esta característica pueda distinguir de manera confiable entre OTP en 2FA y TAN en la autenticación de transacción, podemos esperar que los usuarios también tengan sus TAN extraídos y presentados sin contexto de los datos de la transacción, por ejemplo, la cantidad y el destino de la transacción.
El hecho de que un usuario verifique esta información destacada es precisamente lo que proporciona el beneficio de seguridad. Eliminar eso del proceso lo vuelve ineficaz. Ejemplos en los cuales Autocompletar código de seguridad podría representar un riesgo para la seguridad de la banca en línea, incluido un ataque Man-in-the-Middle al usuario que accede a la banca en línea desde Safari en su MacBook, inyectando la etiqueta de campo de entrada requerida si es necesario, o cuando un sitio web o aplicación maliciosa accede al banco legítimo servicio de banca en línea.
Estamos entusiasmados con la usabilidad mejorada prevista de 2FA y esperamos que aliente a más usuarios de iOS a adoptar 2FA. Pero difícilmente podemos predecir el futuro. La autenticación de transacciones basada en SMS podría seguir siendo una tecnología establecida en la banca en línea, con bancos que responsabilizan a los clientes si no verifican la información de la transacción. Si está justificado colocar la carga sobre los usuarios que se comportan según lo alentado por la tecnología es tanto filosófico como legal pregunta.
Consideraciones para casos de uso bancario
A medida que los bancos continúan equilibrando las mejoras de la experiencia del cliente con la protección de sus instituciones y usuarios contra el fraude, deben tener cuidado con las nuevas Autocompletar código de seguridad característica. Recomendamos que los bancos consideren lo siguiente cuando se trata de casos de uso de autenticación de transacciones:
- Continúe educando a los clientes sobre la importancia de validar cuidadosamente los detalles de sus transacciones al autenticar una transacción, especialmente para aquellos que reciben TAN en un iPhone
- Evite activar el Autocompletar código de seguridad función para los campos utilizados para ingresar TAN para la autenticación de transacciones
- Implementar más avanzado autenticación tecnologías como biometría (p. ej., huella digital, rostro, comportamiento), tecnología fuera de banda (no basada en SMS) y / o notificación automática para transacciones de mayor riesgo (p. ej., transferencias de fondos)
- Proteja las aplicaciones móviles contra compromisos con la protección de aplicaciones y la tecnología de autoprotección de aplicaciones en tiempo de ejecución (RASP)
Para obtener más información sobre cómo asegurar la firma de transacciones, descargue este documento técnico:
https://www.onespan.com/solutions/psd2-which-strong-authentication-and-transaction-solutions-comply
DOCUMENTO TÉCNICO
PSD2: ¿Qué soluciones de autenticación fuerte y transacciones cumplen?
Descubra los requisitos más importantes del RTS final y qué soluciones de autenticación tienen más probabilidades de cumplir los requisitos.
Descargar ahoraReconocimiento
Este artículo fue publicado por primera vez por Andreas Gutmann en La mirada de Bentham , un blog de investigadores de Seguridad de la Información del University College London. Un agradecimiento especial a Vincent Haupert por sus comentarios sobre el artículo original. Desde entonces, hemos actualizado este artículo con más información sobre cómo Secure Code AutoFill podría utilizarse en un ataque, la conferencia de desarrolladores WWDC18 de Apple y las imágenes incrustadas.
