Funkcija automatskog popunjavanja sigurnosnog koda izlaže korisnike macOS i iOS riziku od bankarskih prevara

Vesti, 01.11.2018, 10:00 AM

Funkcija automatskog popunjavanja sigurnosnog koda izlaže korisnike macOS i iOS riziku od bankarskih prevara

Stručnjak za bezbednost Andreas Gutman u julu je upozorio da bi funkcija Security Code AutoFill (automatsko popunjavanje sigurnosnog koda) koja je dodata u iOS 12 mogla omogućiti sajber kriminalcima da pokreću takozvane “čovek u sredini” napade, kako bi prevarili korisnike i ukrali novac sa njihovih računa.

Iako je Apple popravio ovu funkciju koja automatski prikazuje jednokratne lozinke koje se dobijaju putem SMS-a kao predlog za automatsko popunjavanje, mehanizam koji omogućava napadačima da iskoriste funkciju na zlonameran način još uvek postoji.

Pored toga što je ispravio ovaj propust, Apple je i redizajnirao automatsko popunjavanje sigurnosnog koda kako bi se skenirao iznos novca u transkaciji koju treba potvrditi, a kada ga pronađe, prikazuje se jednokratni kod za automatsko popunjavanje koji će korisnicima omogućiti da se uvere da vrednost transakcije nije izmenjena od strane drugog lica.

"Security Code AutoFill ne prikazuje sve informacije potrebne korisnicima da donesu odluku o tome da li da pošalju sigurnosni kod. Ipak, na korisniku je da donese pravu odluku. Na primer, važno je znati koji je servis poslao sigurnosni kod i iz kog razloga. "

To znači da napadači mogu da izmene druge vrednosti uključene u dolazni SMS kao što je destinacija bankarske transakcije koju korisnik mora proveriti, što povećava rizik od prevare.

Gutman opisuje četiri vektora napada koji se mogu koristiti za kompromitovanje transakcija potvrđenih korišćenjem jednokratnih kodova poslatih putem SMS-a - “čovek u pretraživaču”, kompromitovani JavaScript izvorni kod, fišing i “čovek u sredini”.

"Svaki napad je opisan kao napad na drugu vrstu online servisa: online bankarstvo, plaćanje kreditnim karticama, online nalog i aplikacija registrovana na broj telefona", kaže Gutman.

Svi ovi napadi korste podrazumevano ponašanje funkcije automatskog popunjavanja sigurnosnog koda, a ne neke druge bagove.

Iako Appleova ispravka ranije prijavljenog problema u ovoj funkciji zaista pomaže, korisnici iOS 12 i MacOS Mojave su i dalje podložni različitim vrstama napada koji ih izlažu riziku od bankarskih prevara.

Nažalost, korisnici nisu u mogućnosti da reše ovaj problem na bilo koji način osim što će odustati od funkcije automatskog popunjavanja sigurnosnog koda i vratiti se na ručno unošenje jednokratnih lozinki koje primaju putem SMS-a.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

U Windows Store otkriveno 8 malicioznih aplikacija

U Windows Store otkriveno 8 malicioznih aplikacija

Kompanija Symantec otkrila je osam aplikacija objavljenih u Microsoft Store koje su se bavile rudarenjem Monera o čemu njihovi korisnici ništa nisu ... Dalje

Google Chrome će sprečavati web sajtove da detektuju režim privatnog pregledavanja

Google Chrome će sprečavati web sajtove da detektuju režim privatnog pregledavanja

Nova verzija Google Chromea blokiraće web sajtove koji izbegavaju postojeću implementaciju privatnog režima pregledavanja (Incognito mode) da bi u... Dalje

Novi fišing napad može da prevari i najopreznije među vama

Novi fišing napad može da prevari i najopreznije među vama

Kako proveravate da li je web sajt koji traži vaše korisničko ime i lozinku lažan ili pravi? Proveravate li da li je URL ispravan? Proveravate li ... Dalje

Podaci 127 miliona naloga sa 8 popularnih sajtova prodavani na Dark Webu

Podaci 127 miliona naloga sa 8 popularnih sajtova prodavani na Dark Webu

Haker koji je prodavao informacije o skoro 620 miliona online naloga ukradenih sa 16 popularnih sajtova stavio je na prodaju na Dark Webu podatke 127 ... Dalje

Hakeri uništili VFEmail servis, obrisali sve podatke i rezervne kopije

Hakeri uništili VFEmail servis, obrisali sve podatke i rezervne kopije

Zamislite da se jednog jutra probudite i saznate da su svi vaši podaci, vaši dokumenti, emailovi, slike, vaše rezervne kopije, jednostavno nestali,... Dalje