Автозаполнение паролей в iOS 12 может быть опасным

Артём Баусов avatar | 7
FavoriteLoading В закладки
Автозаполнение паролей в iOS 12 может быть опасным

В iOS 12 появилась удобная функция автозаполнения. Она позволяет ещё больше упростить взаимодействие пользователя со смартфоном: ввод полученных в SMS кодов происходит автоматически.

Правда, некоторые эксперты не до конца доверяют этой функции. Специалист по безопасности из OneSpan Cambridge Innovation Centre Андреас Гутманн уверен, что нововведение могут использовать для мошенничества, фишинга и так далее. Как пример, использование функции в атаке типа Man-in-the-middle.

Подобные атаки могут свести полезность функции на нет. Злоумышленнику достаточно создать специальную форму подтверждения ввода SMS-сообщения. В этот момент встроенный в веб-страницу скрипт способен перехватить сообщение и получить доступ к данным пользователя.

На «левом» сайте юзер таким образом оставит и данные своей банковской карточки, и даст полный доступ к ней. Вот и всё.

Благодаря новой функции в iOS 12, уверен Гутманн, станет ещё проще перехватывать сообщения пользователей. Ведь система сама записывает в память данные SMS. [9to5]

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Проголосуйте первым за статью!)
Мы в Telegram
Форум
Избранное
Теги: Новости
(ещё...)
Теги: Новости
(ещё...)
undefined
iPhones.ru
Автозаполнение в iOS 12 — зло. Не доверяйте ему важные данные.
Артём Баусов avatar

Артём Баусов

Главный по новостям, кликбейту и опечаткам. Люблю электротехнику и занимаюсь огненной магией. По всем вопросам пишите в Telegram: @TemaBausov

👀 Читайте также. Всё по теме

#Обзоры
Прокомментировать

🙈 Комментарии 7

Получать комментарии к этому посту по электронной почте.
  1. pLoskutov avatar
    pLoskutov3 июля 2018
    0

    Катати, я видел еще на iOS 11 такую фишку. Кажется яндекс сам видит код из SMS. Я был в шоке.

    P.S. а на ведроидах такая фишка давно … почему проблема всплыла только сейчас на iOS ?

    Phonerz avatar
    Phonerz3 июля 2018
    1

    @pLoskutov, не из SMS, а из Push-уведомления. По такому примеру работает WhatsApp / Viber / Telegram.

    pLoskutov avatar
    pLoskutov3 июля 2018
    0

    @Phonerz, не видел чтоб двухфакторка шла через пуши :)

    rukamaster avatar
    rukamaster3 июля 2018
    0

    @pLoskutov, когда в айклоуд заходишь, телефон сам из смс код подставляет, уже давно.

  2. pLoskutov avatar
    pLoskutov3 июля 2018
    0

    А что скрипт узнает из пришедшей SMS? Только временный код?!
    Там же нет номера карты, пароля итд
    А чтоб использовать этот код скрипту нужно пытаться логиниться на сайт или использовать API (сбербанка)?!

    lohmatij avatar
    lohmatij3 июля 2018
    0

    @pLoskutov, вы заходите на сайт мошенников. Они определяют ваш номер телефона (фиг его знает как они сейчас это делают, но подписки на ваш номер могут подключить, значит способы есть). Далее заходят в ваш личный кабинет по временному паролю. Форма для ввода временного пароля находится тут же на странице. iOS сам подставляет этот пароль, мошенники попадают в ваш личный кабинет.

    Как то так примерно.

  3. boshlin avatar
    boshlin3 июля 2018
    0

    Этот код работает только для приложений. Таким образом невозможно ввести код авторизации для банков

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь
Задай вопрос - получи ответ
👈 капча обязательна
Отправить
Вопрос принят

В ближайшее время ожидайте ответ на нашем сайте :)

Вопрос не принят

Разрешите свои конфликты с google, он вас не пускает :(