iOS 12: Sicherheitsexperte warnt vor neuer SMS-Autofill-Funktion

Bald kann das iPhone mTANs und andere Sicherheitscodes, die per SMS kommen, automatisch erkennen und einsetzen. Keine gute Idee, meint ein Security-Forscher.

Der Sicherheitsforscher Andreas Gutmann von der IT-Security Firma OneSpan hat vor einem neuen Feature in der kommenden iOS-Version 12 gewarnt. Dieses könne für Man-in-the-Middle-Angriffe ausgenutzt werden, mit denen sich Security-Verfahren aushebeln lassen, beispielsweise bei Finanztransaktionen.

Sicherheitscodes per SMS – beispielsweise mTANs zum Online-Banking oder PINs für die Zwei-Faktor-Authentifizierung – sollen auf dem iPhone künftig leichter nutzbar sein. Das im Herbst erscheinende iOS-Update kommt dazu mit einer „Security Code AutoFill“-Funktion. Diese erkennt, wenn ein Code per SMS eingeht und bietet dann an, diesen direkt in eine Website oder App einzusetzen – man muss ihn sich also nicht mehr zwischenzeitlich merken oder ihn mittels umständlichem Copy & Paste einfügen.

Gutmann schreibt nun in einem Advisory, dass Security Code Autofill neue Angriffsformen ermöglicht, da es für den Nutzer quasi zu komfortabel ist. Der neue Automatismus führe potenziell dazu, dass Nutzer den „menschlichen Validierungsprozess“ nicht mehr vornehmen. So sei etwa denkbar, dass Transaktionen im Online-Banking auf dem Mac in Safari abgefangen und verändert würden, die dann per iPhone-SMS bestätigt werden, ohne dass der Kunde genau hinsieht. Security Code Autofill soll dank Continuity-Funktion auch unter macOS Mojave verfügbar sein.

Mit der Funktion müssten Nutzer die SMS mit dem Code gar nicht mehr lesen und bekämen keinen Kontext zu sehen – etwa den Wert der Transaktion oder das Ziel. Apple müsse dringend zwischen einfachen Codes und Online-Banking-Transaktionen unterscheiden, schreibt Gutmann. Aktuell sind iOS 12 und macOS Mojave aber noch im Betatest – entsprechend könnte Apple dies noch implementieren.

2018-07-04T10:01:48+00:00