В iOS 12 появилась удобная функция автозаполнения. Она позволяет ещё больше упростить взаимодействие пользователя со смартфоном: ввод полученных в SMS кодов происходит автоматически.
Правда, некоторые эксперты не до конца доверяют этой функции. Специалист по безопасности из OneSpan Cambridge Innovation Centre Андреас Гутманн уверен, что нововведение могут использовать для мошенничества, фишинга и так далее. Как пример, использование функции в атаке типа Man-in-the-middle.
Подобные атаки могут свести полезность функции на нет. Злоумышленнику достаточно создать специальную форму подтверждения ввода SMS-сообщения. В этот момент встроенный в веб-страницу скрипт способен перехватить сообщение и получить доступ к данным пользователя.
На «левом» сайте юзер таким образом оставит и данные своей банковской карточки, и даст полный доступ к ней. Вот и всё.
Благодаря новой функции в iOS 12, уверен Гутманн, станет ещё проще перехватывать сообщения пользователей. Ведь система сама записывает в память данные SMS. [9to5]
7 комментариев
Форум →Катати, я видел еще на iOS 11 такую фишку. Кажется яндекс сам видит код из SMS. Я был в шоке.
P.S. а на ведроидах такая фишка давно … почему проблема всплыла только сейчас на iOS ?
@pLoskutov, не из SMS, а из Push-уведомления. По такому примеру работает WhatsApp / Viber / Telegram.
@Phonerz, не видел чтоб двухфакторка шла через пуши :)
@pLoskutov, когда в айклоуд заходишь, телефон сам из смс код подставляет, уже давно.
А что скрипт узнает из пришедшей SMS? Только временный код?!
Там же нет номера карты, пароля итд
А чтоб использовать этот код скрипту нужно пытаться логиниться на сайт или использовать API (сбербанка)?!
@pLoskutov, вы заходите на сайт мошенников. Они определяют ваш номер телефона (фиг его знает как они сейчас это делают, но подписки на ваш номер могут подключить, значит способы есть). Далее заходят в ваш личный кабинет по временному паролю. Форма для ввода временного пароля находится тут же на странице. iOS сам подставляет этот пароль, мошенники попадают в ваш личный кабинет.
Как то так примерно.
Этот код работает только для приложений. Таким образом невозможно ввести код авторизации для банков
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Как оставить Меню Бар в полноэкранном режиме?
Как на iPhone поделиться купленными приложениями с членами семьи
Как злоумышленники могут отключить iPhone от Apple ID?
Как после обновления iTunes загружать книги и рингтоны на iPhone
Как включить смайлы (эмодзи) в предиктивном наборе на iOS 10?
iPhone блокируется при просмотре YouTube. Как исправить?
Как на iPhone включать беззвучный режим, если сломался физический переключатель
Как на iPhone отключать музыку по таймеру