В iOS 12 появилась удобная функция автозаполнения. Она позволяет ещё больше упростить взаимодействие пользователя со смартфоном: ввод полученных в SMS кодов происходит автоматически.
Правда, некоторые эксперты не до конца доверяют этой функции. Специалист по безопасности из OneSpan Cambridge Innovation Centre Андреас Гутманн уверен, что нововведение могут использовать для мошенничества, фишинга и так далее. Как пример, использование функции в атаке типа Man-in-the-middle.
Подобные атаки могут свести полезность функции на нет. Злоумышленнику достаточно создать специальную форму подтверждения ввода SMS-сообщения. В этот момент встроенный в веб-страницу скрипт способен перехватить сообщение и получить доступ к данным пользователя.
На «левом» сайте юзер таким образом оставит и данные своей банковской карточки, и даст полный доступ к ней. Вот и всё.
Благодаря новой функции в iOS 12, уверен Гутманн, станет ещё проще перехватывать сообщения пользователей. Ведь система сама записывает в память данные SMS. [9to5]
7 комментариев