Автозаполнение паролей в iOS 12 может быть опасным

|
FavoriteLoading В закладки
Автозаполнение паролей в iOS 12 может быть опасным

В iOS 12 появилась удобная функция автозаполнения. Она позволяет ещё больше упростить взаимодействие пользователя со смартфоном: ввод полученных в SMS кодов происходит автоматически.

Правда, некоторые эксперты не до конца доверяют этой функции. Специалист по безопасности из OneSpan Cambridge Innovation Centre Андреас Гутманн уверен, что нововведение могут использовать для мошенничества, фишинга и так далее. Как пример, использование функции в атаке типа Man-in-the-middle.

Подобные атаки могут свести полезность функции на нет. Злоумышленнику достаточно создать специальную форму подтверждения ввода SMS-сообщения. В этот момент встроенный в веб-страницу скрипт способен перехватить сообщение и получить доступ к данным пользователя.

На «левом» сайте юзер таким образом оставит и данные своей банковской карточки, и даст полный доступ к ней. Вот и всё.

Благодаря новой функции в iOS 12, уверен Гутманн, станет ещё проще перехватывать сообщения пользователей. Ведь система сама записывает в память данные SMS. [9to5]

Оставайся в теме. Подпишись на наш Telegram 👏
FavoriteLoading В закладки
undefined
iPhones.ru
Автозаполнение в iOS 12 — зло. Не доверяйте ему важные данные.
Прокомментировать

🙈 Комментарии 7

  1. pLoskutov3 июля в 12:07
    0

    Катати, я видел еще на iOS 11 такую фишку. Кажется яндекс сам видит код из SMS. Я был в шоке.

    P.S. а на ведроидах такая фишка давно … почему проблема всплыла только сейчас на iOS ?

    Phonerz avatar
    Phonerz3 июля в 12:19
    1

    @pLoskutov, не из SMS, а из Push-уведомления. По такому примеру работает WhatsApp / Viber / Telegram.

    pLoskutov3 июля в 16:04
    0

    @Phonerz, не видел чтоб двухфакторка шла через пуши :)

    rukamaster avatar
    rukamaster3 июля в 13:33
    0

    @pLoskutov, когда в айклоуд заходишь, телефон сам из смс код подставляет, уже давно.

  2. pLoskutov3 июля в 12:09
    0

    А что скрипт узнает из пришедшей SMS? Только временный код?!
    Там же нет номера карты, пароля итд
    А чтоб использовать этот код скрипту нужно пытаться логиниться на сайт или использовать API (сбербанка)?!

    lohmatij avatar
    lohmatij3 июля в 12:22
    0

    @pLoskutov, вы заходите на сайт мошенников. Они определяют ваш номер телефона (фиг его знает как они сейчас это делают, но подписки на ваш номер могут подключить, значит способы есть). Далее заходят в ваш личный кабинет по временному паролю. Форма для ввода временного пароля находится тут же на странице. iOS сам подставляет этот пароль, мошенники попадают в ваш личный кабинет.

    Как то так примерно.

  3. boshlin avatar
    boshlin3 июля в 12:19
    0

    Этот код работает только для приложений. Таким образом невозможно ввести код авторизации для банков

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь