Startseite » News » Neue Authentifizierungshilfe „AutoFill“ in iOS 12 nicht absolut sicher

Neue Authentifizierungshilfe „AutoFill“ in iOS 12 nicht absolut sicher

von Manuel Osswald

Mit iOS 12 möchte Apple die Einfachheit der Zwei-Faktor-Authentifizierung steigern, sodass etwa TANs aus SMS-Nachrichten automatisch in die dafür vorgesehenen Eingabefelder eingefügt werden. Obwohl sich gerade so ein Feature sehr bequem anhört, und man in Verbindung mit Apple auch eine gewisse Sicherheit erwartet, stellt jedoch genau dieses Feature ein Risiko dar.

Beispiel: SMS-Authentifizierung

Dass SMS nicht als vollkommen sicher gelten, ist bereits bekannt und ein offenes Geheimnis. Das Problem stellt aber auch nicht die verschickte Kurznachricht an sich dar, welche den Transaktionscode enthält, der anschließend in das dafür vorgesehene Feld eingetragen werden muss, sondern der Umstand, dass der Kontext der empfangenen SMS nicht mehr aufmerksam kontrolliert wird. Dieser fehlende Validierungsaspekt seitens des Menschen kann vor Allem von Onlinebanking-Betrügern ausgenutzt werden. Dies könnte beispielsweise durch Social-Engineering-Techniken wie klassisches Phishing oder Tools wie „Man-In-The-Browser“-Malware geschehen, wodurch es passieren kann, dass das Geld auf ein anderes, als das vorgesehene Konto überwiesen wird. Es besteht also die Gefahr eines Man-In-The-Middle-Angriffs, etwa per Injektion eines erforderlichen Eingabe-Tags oder über einen Zugriff einer bösartigen Website oder Anwendung auf den legitimen Online-Service der Bank.

Im Zweifelsfall haftet der Kontoinhaber

Ein weiteres Problem ist die Tatsache, dass der Nutzer im Falle eines Angriffs selbst für seine Unaufmerksamkeit haftet. Wurde also eine Transfer-authentifizierung per SMS und ein Angriff eines Dritten erfolgreich durchgeführt, befindet das Geld auf dem falschen Konto und der Nutzer kann überhaupt nichts dagegen unternehmen, da der Kontext der SMS nicht aufmerksam überprüft wurde. Ob die Verlagerung des Risikos auf die Nutzer selbst gerechtfertigt ist, ist daher eine rechtliche bzw. philosophische Frage, die es zu klären gilt. Zu begrüßen ist aber dennoch, dass durch die steigende Benutzerfreundlichkeit von Zwei-Faktor-Authentifizierung seitens Apple und der damit verbundenen Bequemlichkeit mehrere Nutzer an die sichere Form der Identitätsbestätigung herangeführt werden. Bei einem Geldtransfer gilt aber, trotzdem achtsam zu bleiben, gerade weil hier nicht nur die Identität eine Rolle spielt, sondern auch der Kontext der Authentifizierung.

0 Kommentare
0

Auch interessant

Schreibe einen Kommentar

Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessen. Durch Deinen Besuch stimmst Du dem zu.