Чем опасно автозаполнение паролей в iOS 12

33

Новая функция автозаполнения в iOS 12 может представлять опасность для пользовательских данных, пишет 9to5Mac со ссылкой на экспертов в области информационной безопасности. По словам специалистов, нововведение можно использовать в мошеннических целях, и пользователям необходимо быть внимательными с сайтами, которые они посещают.


Сообщается, что мошенник может создать форму для подтверждения ввода SMS-сообщения, после чего специальный скрипт перехватит код из сообщения для получения доступа к данным пользователя. Эксперты утверждают, что таким образом злоумышленники могут получить доступ к онлайн-банкингу.

Неважно, банковское это приложение или мессенджер — код автоматически вставится из уведомления от приложения «Сообщения», как только вы нажмете кнопку под клавиатурой. Так, например, если вам придет проверочное SMS от банка, оно вставится в адресную строку. Ранее для этого приходилось вручную копировать и вставлять код.

Речь идет о так называемой «атаке посредника», когда злоумышленник тайно ретранслирует полученный код себе. Чтобы не попасть на уловку мошенников, необходимо проверять сайты, на которых осуществляется оплата услуг.

Лучший комментарий

33 комментария

  1. 1

    Не вижу необходимости в автоматической подстановке паролей из СМС. Как правило, банки присылают короткий код (4 цифры), и легко можно увидеть в уведомлении что за код прислали и вручную его набрать. Займёт ненамного больше времени, чем автоподстановка. Зато намного безопаснее. (отправлено из приложения AppleInsider.ru)

    • 0

      美少女, как это вообще может влиять на безопасность? проверка, что пользователь — сверхразум и не допускает опечаток при вводе кода? такое автозаполнение только ускоряет ввод путем нажатия одной кнопки.
      Вы же успели попробовать эту функцию в бете?
      p.s. например, ВТБ присылает 6 знаков

      • 2

        roman71, Как это может влиять на безопасность тебе написали в статье. Специальный скрипт может перехватывать эту автоподстановку и тем самым логиниться в твой интернет-банкинг. Поэтому безопасней эту функцию отключить и вводить вручную. Даже 6 цифр элементарно запомнить и ввести. Если что забудешь — свайпни сверху, увидишь уведомление с кодом, и наберёшь код. Автоподстановка удобна, но как уже написали в этой статье — небезопасна. (отправлено из приложения AppleInsider.ru)

    • 0

      美少女, У Тинькова раньше автоматически подставлялось в приложение, если приложение было на момент получения пуша на экране. Было мега-удобно, но потом почему-то убрали.

    • 0

      美少女, Все равно что писать вручную, что автоматически, если сайт злоумышленников, то данные буду перехвачены.

      Так что просто вопрос удобства. (отправлено из приложения AppleInsider.ru)

      • 0

        CattoS, Так в том-то и дело, что в статье написано, что специальный скрипт перехватывает код подтверждения, даже если ты ещё не успел нажать на него для автоматической подстановки. То есть раньше поддельный сайт никак не мог узнать код. А сейчас тебе пришлют код, и даже если ты не намерен его вводить, его перехватят и автоматически подставят, даже не нажимая на всплывающее сообщение с автоподстановкой. В этом вся уязвимость! (отправлено из приложения AppleInsider.ru)

        • -2

          美少女, на заборах тоже пишут, всему верить будете?

          • 0

            Toxblh, Статьям на этом сайте Я доверяю больше, чем надписям на заборах. Всё-таки это не заборный ресурс, а серьёзный новостной сайт. Полную чушь они писать не будут (не должны, по крайней мере). Поэтому понятное дело, что статьям на этом сайте Я верю больше, чем надписям на заборах. (отправлено из приложения AppleInsider.ru)

        • 0

          美少女, Хм ну да так на вещи не смотрел вы правы, нужна кнопка по типу
          «Ввести пароль автоматически» на клавиатуре или ещё где которая позволит огородить от таких атак.

          Вы правы (отправлено из приложения AppleInsider.ru)

          • 0

            CattoS, Но вообще с практической точки зрения сразу после появления такого сообщения человек его заметит и наберёт в банк для уведомлениях о запрете на списание средств.

            Хотя, это смотря как будет реализовано уведомление о таких смс, будет ли гореть единичка рядом с иконкой сообщений, будет ли вообще высвечиваться или же проигрываться уведомление о новом смс от банка. (отправлено из приложения AppleInsider.ru)

            • 1

              CattoS, и так же нету никакого скрипта, это авторы ai придумали. Не было ни слова про него в оригинале статьи и первоисточнике

          • 1

            CattoS, у вас явно нет ios12 или вы не смотрели как работает данная функция, она делает ровно то, что вы описали — создаёт кнопку на клавиатуре, которая автоматически заполнит поле кодом из смс. Не нажмёте — ничего не произойдёт.

            • 0

              Toxblh, Нету, я руководствуюсь только данными из статьи :/
              Ну вообщем посмотрим на практике будут ли скандалы с угонами денег) (отправлено из приложения AppleInsider.ru)

        • 1

          美少女, До нажатия на код сверху клавиатуры перехватить нельзя.

          • 0

            greenkaktus, Далеко не факт. Если система передаёт данные в клавиатуру, то чисто теоретически, есть возможность по тому же апи перехватить эти данные другим программам или скриптам…
            А если посмотреть как на маке это делается — там сразу под полем ввода появляется подсказка с автоподстановкой, то там ещё проще будет перехватить. (отправлено из приложения AppleInsider.ru)

            • 2

              美少女, если вы не взламывали свое устройство, то нету никакого апи перехватывающего данные. Это я вам как разработчик говорю. А на маке сделано иначе.

    • 0

      美少女, Хз — хз, удобнее когда само
      Очень надоедает самому писать (отправлено из приложения AppleInsider.ru)

  2. -1

    Скорее это будет привязка к устройству и с другого устройства хоть перехватывай хоть не перехватывай он не будет пароль или пинкод работать. (отправлено из приложения AppleInsider.ru)

  3. 2

    Не вижу никаких проблем, у андроида давно уже это есть. (отправлено из приложения AppleInsider.ru)

  4. 0

    Уже третья бета вышла (отправлено из приложения AppleInsider.ru)

  5. 3

    На андроиде уже 100лет это есть и никто никого не взломал… Тут тем более не взломают.

  6. 0

    Я просто взял и отключил в настройках. Временно, пока всё не устаканится.

  7. 0

    Бред. Перехватить код при авто подстановке, которые вы делаете руками, то есть тыкаете в предложение. И да чтобы были скрипты и вирусня — это джеил на iOS, но на 12ку его нет в общем доступе. А если вы специально зашли на сайт злоумышленика, отправили ему все данные и в заключительном аккорде отправляете код из смс, уверяю если вы дошли до сюда вы так и так его отправите что из уведомления, что автоподстановкой.

    • 0

      Toxblh, В статье написано, что специальный скрипт автоматически подставит код из сообщения. Тебе даже нажимать ничего не надо. Точнее ты не успеешь нажать, как этот код перехватят и подставят автоматически.
      Яркий пример как это использовать — ты заходишь на сайт, он подписывает тебя на платную услугу, и для подтверждения подписки высылает тебе код в СМС, код приходит, и тут же скрипт его забирает и подставляет в форму и отправляет. То есть просто посетив сайт, ты подпишешься на платные услуги без своего согласия.
      Раньше надо было вручную ввести код из СМС, а сейчас вредоносный скрипт перехватит код и сам его введёт. (отправлено из приложения AppleInsider.ru)

      • 0

        美少女, а ещё лучше прочитать оригинал с которого вообще все это пошло — https://blog.vasco.com/application-security/new-ios-12-feature-risks-exposing-users-to-online-banking-fraud/

        • 0

          Toxblh, В статье на Apple Insider забыли упомянуть важную деталь, судя по приведенной ссылке:
          Банк может присылать не только код подтверждения, но и сумму и назначение перевода для уточнения. И если в СМС человек может увидеть, что прислали что-то не то (другая сумма и платёж на другой счёт), то при автоподстановке, у пользователя высветится только код, он нажмёт, и подтвердит транзакцию на чужой счёт. Так что лучше всё-таки не пользоваться этой удобной функцией автоподстановки, когда речь идёт о денежных платежах.
          Для регистрации на каком-нибудь вконтактике разве что сойдёт. (отправлено из приложения AppleInsider.ru)

          • 0

            美少女, И вот ни про какие скрипты и прочие программные баги там не было. Это чистая соц. инженирия, то что людям сложно уведомление потянуть и прочитать, как делаю я и после сделать авто вставку. Это мега удобно. А то что некотоые идивиды тыкают во все нипопадя их ничего не спасет

  8. 0

    Ничего не понятно. У нас при онлайн-платежах используется двухфакторная авторизация для входа: код и touch id или код и одноразовый код, и подтверждение транзакции через touch id или одноразовый код. Причём, происходит это через взаимодействие с другой программой, отвечающей за авторизацию и без использования автозаполнения.

Авторизуйтесь Чтобы оставить комментарий