Mit iOS 12 möchte Apple die Einfachheit der Zwei-Faktor-Authentifizierung steigern, sodass etwa TANs aus SMS-Nachrichten automatisch in die dafür vorgesehenen Eingabefelder eingefügt werden. Obwohl sich gerade so ein Feature sehr bequem anhört, und man in Verbindung mit Apple auch eine gewisse Sicherheit erwartet, stellt jedoch genau dieses Feature ein Risiko dar.
Inhaltsverzeichnis
Beispiel: SMS-Authentifizierung
Dass SMS nicht als vollkommen sicher gelten, ist bereits bekannt und ein offenes Geheimnis. Das Problem stellt aber auch nicht die verschickte Kurznachricht an sich dar, welche den Transaktionscode enthält, der anschließend in das dafür vorgesehene Feld eingetragen werden muss, sondern der Umstand, dass der Kontext der empfangenen SMS nicht mehr aufmerksam kontrolliert wird. Dieser fehlende Validierungsaspekt seitens des Menschen kann vor Allem von Onlinebanking-Betrügern ausgenutzt werden. Dies könnte beispielsweise durch Social-Engineering-Techniken wie klassisches Phishing oder Tools wie „Man-In-The-Browser“-Malware geschehen, wodurch es passieren kann, dass das Geld auf ein anderes, als das vorgesehene Konto überwiesen wird. Es besteht also die Gefahr eines Man-In-The-Middle-Angriffs, etwa per Injektion eines erforderlichen Eingabe-Tags oder über einen Zugriff einer bösartigen Website oder Anwendung auf den legitimen Online-Service der Bank.
Im Zweifelsfall haftet der Kontoinhaber
Ein weiteres Problem ist die Tatsache, dass der Nutzer im Falle eines Angriffs selbst für seine Unaufmerksamkeit haftet. Wurde also eine Transfer-authentifizierung per SMS und ein Angriff eines Dritten erfolgreich durchgeführt, befindet das Geld auf dem falschen Konto und der Nutzer kann überhaupt nichts dagegen unternehmen, da der Kontext der SMS nicht aufmerksam überprüft wurde. Ob die Verlagerung des Risikos auf die Nutzer selbst gerechtfertigt ist, ist daher eine rechtliche bzw. philosophische Frage, die es zu klären gilt. Zu begrüßen ist aber dennoch, dass durch die steigende Benutzerfreundlichkeit von Zwei-Faktor-Authentifizierung seitens Apple und der damit verbundenen Bequemlichkeit mehrere Nutzer an die sichere Form der Identitätsbestätigung herangeführt werden. Bei einem Geldtransfer gilt aber, trotzdem achtsam zu bleiben, gerade weil hier nicht nur die Identität eine Rolle spielt, sondern auch der Kontext der Authentifizierung.
