Tra le novità dei futuri iOS 12 e macOS Mojave, c’è una funzionalità per il riempimento automatico dei codici di sicurezza. I codici di accesso monouso che riceviamo via SMS nei nuovi sistemi operativi compaiono come suggerimenti per il riempimento automatico in Safari e altre app: non bisogna più preoccuparsi di memorizzarli o inserirli manualmente.
La novità è molto comoda ma Andreas Gutmann, ricercatore che si occupa di sicurezza informatica, ha delle perplessità in merito: “Il riempimento automatico dei codici di sicurezza dovrebbe consentire di migliorare l’usabilità del meccanismo di autenticazione a due fattori ma potrebbe esporre gli utenti a rischio frodi con i servizi bancari online, rimuovendo i meccanismi di convalida umani nelle procedure di transizione/autenticazione”.
Il ricercatore sottolinea l’importanza dell’intervento umano nella procedura di autenticazione a due fattori. Senza l’intervento dell’utente, a suo dire quest’ultimo può essere più suscettibile ad attacchi tipo man-in-the-middle, di phishing o altri meccanismi che prevedono lo sfruttamento di tecniche di ingegneria sociale.
Gutmann spiega che il meccanismo potrebbe essere usato in relazione all’online banking. L’autenticazione di una transazione, al contrario dell’autenticazione utente, certifica la correttezza dell’intento di un’azione e non soltanto l’identità di un utente. È un meccanismo ampiamente noto nell’online banking, in particolare quale modo per rispettare le direttive PSD2 sui pagamenti digitali entrati in vigore con la direttiva europea 2015/2366 che obbligano all’uso del Dynamic Linking con l’interposizione dei TPP (third party provider) senza rischi di compromissione della operazione dispositiva in corso.
La possibilità per l’utente di verificare questa importante informazione permette di ottenere un vantaggio in termini di sicurezza. La rimozione di questa procedura manuale rende il procedimento inefficace.
Tra gli esempi citati nei quali il meccanismo di riempimento automatico dei codici può costituire un rischio per la sicurezza dell’online banking c’è un ipotetico attacco Man-in-the-Middle usando Safari, con l’attaccante che si inserisce tra due entità che comunicano tra loro compromettendo con tecniche crittografiche la comunicazione e intercettando i messaggi scambiati, leggendoli e modificandoli a piacere, senza che le parti interessate ne siano consapevoli. I dettagli di quanto evidenziato dal ricercatore, sono a questo indirizzo.
Se volete conoscere tutto su macOS 10.4 Mojave vi rimandiamo a questo articolo di approfondimento. Per tutte le notizie incluse le applicazioni aggiornate appositamente, le novità e i tutorial per il sistema operativo visitate la pagina macOS Mojave di macitynet. I tutorial per Mac sono tutti raccolti in questa pagina del nostro sito.
