iOS 12驗證碼自動填充很方便 但它安全嗎？

即將在秋季正式推送的 iOS 12，其中一項新特性是可以識別簡訊中的驗證碼並自動填寫，這個功能大大方便了用戶，但是近日安全專家安德烈亞斯·古特曼（Andreas Gutmann）指出：這樣的自動填充功能可能存在安全隱患，並提醒銀行方面以及程序開發者們注意加強防範。

今年 6 月的全球開發者大會（WWDC 2018）上，蘋果宣布了 iOS 12 的新特性：Auto Fill（驗證碼自動填充），其旨在通過自動讀取簡訊中的驗證碼，節省在 Safari 等應用中手動輸入表單的麻煩，從而為用戶帶來無縫的註冊流程體驗。

在當前絕大部分在線交易和在線訪問都採用雙重身份驗證（2FA）的情況下，驗證碼自動填充無疑方便了用戶。並且，如果你的 Mac 也安裝了最新的 Mojave 測試版系統，簡訊驗證碼還會通過「接力功能」（Handoff）傳輸到 Mac 上。

雙重身份驗證通常稱為兩步驗證，是許多安全系統的基本要素。在大多數情況下，2FA 通過檢查用戶是否可以訪問移動設備來提供擴展的安全性。例如，在基於 SMS 的 2FA 中，用戶要向某個服務系統發送自己的手機號，此服務再向註冊的電話號碼發送一次性密碼（OTP），也就是驗證碼來檢驗用戶合法性，用戶接收此代碼並能夠在登錄過程中輸入該代碼，而模仿者無法訪問該代碼。

iOS 12 新功能只需要用戶在接收到驗證碼簡訊的時候點擊一下，便會自動輸入驗證碼，這將加快登錄過程並減少錯誤。安全專家肯定蘋果這一做法是對 2FA 可用性的重大改進，它還可以提高 iPhone 用戶對 2FA 的採用率。但專家同時警告稱：iOS 12 驗證碼自動填充功能可能會催生隨之而來的欺詐、釣魚攻擊等風險。

動態驗證碼本身是防禦複雜攻擊的重要工具，其中的關鍵在於必須由用戶接收到並在有效時間內主動+手動輸入驗證碼。自動填充直接移除了其中的手動部分，對於用戶來說很方便，但它也抵消了交易簽名和交易驗證號碼（TAN）的安全優勢。

iOS 12 的自動填充功能基於觸髮式的消息檢測，比如檢測出類似於「驗證碼」或者「密碼」這樣的單詞（欄位），便會提取相應欄位進行填充。

惡意網站或惡意軟體也有可能通過這樣的手段提取到驗證碼，進行網銀欺詐。在 MacBook 上通過 Safari 瀏覽器訪問網銀的用戶，可能會受到中間人攻擊。

安全專家提議銀行應該對新的驗證碼自動填充功能保持警惕：

1. 教育客戶仔細閱讀驗證簡訊和詳情的重要性，特別是那些在 iPhone 上接收驗證簡訊的人（不少人都是隨便看一眼，只留意驗證碼而不留心看簡訊內容）。

2. 銀行可以盡量避免因（可被追蹤到的）特定欄位而激活自動填充功能。

3. 採用更高級的身份驗證技術，例如生物識別技術（指紋、面部識別等）以及針對高風險交易的推送通知。

4. 程序開發者們基於安全考慮，可以通過自動填充屏蔽和 App 自我保護（RASP）技術免受攻擊。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！