Una nueva característica de seguridad que llega a los usuarios con el lanzamiento de iOS 12 podría exponer a los clientes de Apple al fraude bancario omitiendo el proceso de validación humana al autenticar las transacciones, advierte un investigador de seguridad.
Apple anunció en junio en la WWDC que iOS 12 vendría con una nueva característica llamada Security Code AutoFill cuyo propósito es leer automáticamente códigos de autenticación de dos factores enviados por SMS y luego ingresarlos en formularios en Safari para proporcionar un proceso de inicio de sesión sin problemas para usuarios.
Si bien a primera vista esta es una característica que mejora sustancialmente la usabilidad, el experto en seguridad Andreas Gutmann advierte que una implementación de este tipo podría, al final, tener un impacto en la firma de transacciones y en los números de autenticación de transacción (TAN, Transaction Authentication Numbers).
En otras palabras, los sistemas de seguridad utilizados por los bancos para las transacciones de autenticación y firma podrían volverse ineficaces con los métodos de ataque, como los sitios web maliciosos y las técnicas Man-in-the-Middle.
"El hecho de que un usuario verifique esta información destacada es precisamente lo que proporciona el beneficio de seguridad. Eliminar eso del proceso lo hace ineficaz. Los ejemplos en los que el Código de seguridad Autocompletar podría suponer un riesgo para la seguridad bancaria en línea incluyen un ataque Man-in-the-Middle al usuario que accede a la banca en línea desde Safari en su MacBook, insertando la etiqueta de campo de entrada requerida si es necesario o un sitio web malicioso o la aplicación accede al servicio bancario en línea legítimo del banco ", señala Gutmann.
El paso de verificación manual que requiere la interacción del usuario es imprescindible para garantizar que los delincuentes cibernéticos no se salten las funciones de seguridad implementadas por los bancos.
Sin embargo, el lado bueno de la nueva característica que llega a los usuarios con iOS 12 es que Apple alienta a los clientes a habilitar la autenticación de dos factores, lo que hace que los servicios sean más seguros al requerir un código enviado por SMS. Por otro lado, pasando por alto el proceso de validación humana, iOS 12's Security Code AutoFill hace que incluso esta característica sea inútil, exponiendo fácilmente tanto a los usuarios como a los bancos, concluye la investigación.
Fecha actualización el 2021-07-13. Fecha publicación el 2019-07-13. Categoría: apple. Autor: Oscar olg Mapa del sitio Fuente: softpedia