Pratite nas preko RSS-aFunkcija automatskog popunjavanja sigurnosnog koda izlaže korisnike macOS i iOS riziku od bankarskih prevara
Vesti, 01.11.2018, 10:00 AM
Stručnjak za bezbednost Andreas Gutman u julu je upozorio da bi funkcija Security Code AutoFill (automatsko popunjavanje sigurnosnog koda) koja je dodata u iOS 12 mogla omogućiti sajber kriminalcima da pokreću takozvane “čovek u sredini” napade, kako bi prevarili korisnike i ukrali novac sa njihovih računa.
Iako je Apple popravio ovu funkciju koja automatski prikazuje jednokratne lozinke koje se dobijaju putem SMS-a kao predlog za automatsko popunjavanje, mehanizam koji omogućava napadačima da iskoriste funkciju na zlonameran način još uvek postoji.
Pored toga što je ispravio ovaj propust, Apple je i redizajnirao automatsko popunjavanje sigurnosnog koda kako bi se skenirao iznos novca u transkaciji koju treba potvrditi, a kada ga pronađe, prikazuje se jednokratni kod za automatsko popunjavanje koji će korisnicima omogućiti da se uvere da vrednost transakcije nije izmenjena od strane drugog lica.
"Security Code AutoFill ne prikazuje sve informacije potrebne korisnicima da donesu odluku o tome da li da pošalju sigurnosni kod. Ipak, na korisniku je da donese pravu odluku. Na primer, važno je znati koji je servis poslao sigurnosni kod i iz kog razloga. "
To znači da napadači mogu da izmene druge vrednosti uključene u dolazni SMS kao što je destinacija bankarske transakcije koju korisnik mora proveriti, što povećava rizik od prevare.
Gutman opisuje četiri vektora napada koji se mogu koristiti za kompromitovanje transakcija potvrđenih korišćenjem jednokratnih kodova poslatih putem SMS-a - “čovek u pretraživaču”, kompromitovani JavaScript izvorni kod, fišing i “čovek u sredini”.
"Svaki napad je opisan kao napad na drugu vrstu online servisa: online bankarstvo, plaćanje kreditnim karticama, online nalog i aplikacija registrovana na broj telefona", kaže Gutman.
Svi ovi napadi korste podrazumevano ponašanje funkcije automatskog popunjavanja sigurnosnog koda, a ne neke druge bagove.
Iako Appleova ispravka ranije prijavljenog problema u ovoj funkciji zaista pomaže, korisnici iOS 12 i MacOS Mojave su i dalje podložni različitim vrstama napada koji ih izlažu riziku od bankarskih prevara.
Nažalost, korisnici nisu u mogućnosti da reše ovaj problem na bilo koji način osim što će odustati od funkcije automatskog popunjavanja sigurnosnog koda i vratiti se na ručno unošenje jednokratnih lozinki koje primaju putem SMS-a.
Izdvojeno
Više od 400.000 uređaja zaraženo malverom skrivenim u piratskim igrama
Istraživači kompanije Malwarebytes upozoravaju na novu kampanju koja koristi piratske verzije popularnih PC igara za infekciju Windows računara. Pr... Dalje
Apple uvodi AI funkciju koja će automatski menjati kompromitovane lozinke
Apple je na konferenciji WWDC 2026 predstavio novu funkciju zasnovanu na Apple Intelligence tehnologiji koja će moći automatski da zameni slabe ili ... Dalje
Hakeri koriste lažne prijave o kršenju autorskih prava za krađu Google naloga
Istraživači kompanije Malwarebytes upozorili su na novu fišing kampanju koja cilja programere Chrome ekstenzija koristeći lažna obaveštenja o na... Dalje
WordPress malver krije komande u komentarima Steam profila
Istraživači kompanije GoDaddy otkrili su novu WordPress malver kampanju koja koristi Steam Community profile za skrivanje komandi namenjenih komprom... Dalje
Greška u Metinom AI sistemu za korisničku podršku omogućila preuzimanje Instagram naloga
Kritična greška u Metinom AI sistemu za korisničku podršku na Instagramu omogućila je napadačima da zaobiđu dvofaktorsku autentifikaciju jednos... Dalje
Pratite nas
Nagrade
Prijatelji
