تکمیل خودکار کد امنیتی، ویژگی جدیدی است که در iOS 12 اضافه شده است. اپل این ویژگی را برای مدیریت آسانتر کدهای ارسالی انجام داده اما یک محقق امنیتی اظهار کرده که این ویژگی میتواند امنیت کاربر را در بانکداری آنلاین به خطر بیندازد.
اپل همراه با iOS 12 و macOS موهاوی، ویژگی جدید امنیتی به نام «تکمیل خودکار کد امنیتی» را معرفی کرد که سبب میشود کدهای احراز هویت دوعامل که با SMS برای کاربر ارسال میشوند، آسانتر مدیریت شوند. یک محقق امنیتی با انتشار متنی درمورد احتمال جعل این کدها، اظهار نگرانی کرده است.
در ابتدا به این موضوع اشاره شد که SMS دو عامل، بهترین شکل از احراز هویت دو عاملی نیست. درحال حاضر آندریاس گوتمن، محقق مرکز نوآوری کمبریج OneSpan بهصورت عمیقتر درمورد نگرانیهای امنیتی ویژگی جدید تکمیل خودکار اپل بررسی کرده است.
این محقق امنیتی میگوید:
تکمیل خودکار کد امنیتی، ویژگی جدیدی است که در iOS 12 اضافه شده است. بهنظر میرسد که این ویژگی جهت بهبود قابلیت استفاده از احراز هویت دوعامل باشد، اما با حذف بخش تائید هویت توسط انسان در فرآیند امضای قرارداد یا تائید اعتبار، کاربران در معرض کلاهبرداری مربوط به بانکداری آنلاین قرار خواهند گرفت.
گوتمن توضیح میدهد که فرآیند اعتباربخشی انسان یک جنبه مهم تائید هویت دو عامل است و بدون آن، یک کاربر میتواند در معرض حملات فیشینگ یا دیگر حملات مهندسیشده قرار بگیرد.
گوتمن اظهار میکند که این ویژگی میتواند برای احراز هویت در رابطه با بانکداری مشکل ایجاد کند:
احراز هویت در معامله، بیشتر از آنکه به عنوان احراز هویت یک کاربر تلقی شود، به منظور گواه تصدیق این عملیات بانکی عمل میکند. این ویژگی بهطور کامل در بانکداری آنلاین شناخته شده است، بهویژه به عنوان راهی برای رسیدگی به دستورالعمل خدمات پرداخت اصلاح شده اتحادیه اروپا (PSD2) که به یک اتصال پویا نیازمند است. این درحالی است که در برابر حملات پیچیده، به عنوان ابزار ضروری از کاربر محافظت میکند.
واقعیت این است وقتی کاربر این اطلاعات مهم را تائید میکند، امنیت آن تامین شده که حذف آن از این فرآیند، این پروسه را بیاثر میکند. مثالهایی که تکمیل خودکار کد امنیتی میتواند سبب ریسک امنیتی در بانکداری آنلاین شود شامل حمله شخص واسطه به کاربر در بانکداری آنلاین است که از مرورگر سافاری در مکبوک خود استفاده کرده و درصورت لزوم فیلدهای موجود را با استفاده از اطلاعات موجود در سیستم خود پر میکند و یا در موردی دیگر، تکمیل خودکار کد امنیتی میتواند باعث دسترسی یک وبسایت یا اپلیکیشن مخرب به سرویس بانکداری آنلاین قانونی شود.