Das im Herbst kommende iOS 12 Update kommt mit einer "Security Code AutoFill"-Funktion. Diese erkennt, wenn ein Code per SMS eingeht und bietet dann an, diesen direkt in eine Website oder App einzusetzen.

Somit muss sich der Anwender den Code nicht mehr merken. Dieses Feature könnte für Man-in-the-Middle-Angriffe ausgenutzt werden, mit denen sich die Security-Verfahren aushebeln lassen, warnt der Sicherheitsforscher Andreas Gutmann von der IT-Security Firma OneSpan.

In einem Advisory schreibt Gutmann, dass Security Code Autofill neue Angriffsformen ermöglicht. Nutzer werden den "menschlichen Validierungsprozess" nicht mehr vornehmen, weil dies automatisch geschieht. Angreifer könnten beispielsweise Transaktionen im Online-Banking auf dem Mac in Safari abfangen und verändern und der Kunde würde nicht genau hinsehen und diese einfach bestätigen.

Mit Security Code Autofill müssten Nutzer die SMS mit dem Code gar nicht mehr lesen und bekämen den Wert der Transaktion oder das Ziel nicht zu sehen. Gutmann schreibt, dass Apple dringend zwischen einfachen Codes und Online-Banking-Transaktionen unterscheiden müsse. Derzeit ist iOS 12 noch in der Beta-Phase.

(pp, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE