【セキュリティ脆弱性】研究者が指摘するiOS12とmacOS Mojaveの「認証コード自動入力」機能によるユーザー攻撃の可能性とは？

Appleは最新のオペレーティングシステム「iOS 12」および「macOS Mojave」で、SMSで送られてくる認証コードを自動で読み取るセキュリティコード自動入力機能を利用可能にします。これによりAppleは、ユーザーは2ファクタ認証によるセキュリティコードを入力する手間を省くことができ、アプリやWebサイト内の必須のフィールドに自動入力されシームレスに作業を行うことが可能となります。この件について、「ユーザーをオンラインバンキング詐欺にさらす可能性がある」として、研究者はセキュリティ上の問題を指摘しています。

今秋に「iOS 12」と「macOS Mojave」がリリースされると、どちらのオペレーティングシステムも自動的に着信メッセージのコードを検出し、アプリやWebサイト内の必須フィールドに自動入力します。もはや、ユーザーが手動でこの作業を行う必要はありません。ログイン時に行っていた2ファクタ認証でSMSに送られてくる数字を覚える必要もありません。

Security Code AutoFill is a new feature for iPhones in iOS 12. It is supposed to improve the usability of two-factor authentication, but could expose users to online banking fraud by removing the human validation aspect of the transaction signing/authentication process.

この機能は、作業効率が格段に上がることから、ユーザーにとても好評だということです。ただ、セキュリティ企業である「OneSpan」のケンブリッジ・イノベーション・センターに勤務する研究者Andreas Gutmann（アンドレアス・グットマン）氏によれば、人的なプロセスを排除する状態で認証コードが自動入力されるため、ユーザーになりすました攻撃に晒されるリスクがあると指摘しています。

Transaction authentication, as opposed to user authentication, attests to the correctness of the intention of an action rather than just the identity of a user. It is most widely known in online banking, and in particular as a way to meet the EU’s Revised Payment Services Directive (PSD2) requirement for dynamic linking, where it is an essential tool to defend against sophisticated attacks.

The fact that a user verifies this salient information is precisely what provides the security benefit. Removing that from the process renders it ineffective. Examples in which Security Code AutoFill could pose a risk to online banking security include a Man-in-the-Middle attack on the user accessing online banking from Safari on their MacBook, injecting the required input field tag if necessary, or where a malicious website or app accesses the bank’s legitimate online banking service.

Gutmann氏は、この機能が銀行との取引におけるトランザクション認証に問題を引き起こす可能性があると書いています。トランザクション認証はユーザー認証とは対照的に、ユーザーの身元だけではなく、操作の意図の正当性を証明します。このため、ユーザーは中間者の攻撃やフィッシングの影響を受けやすくなる可能性があるということです。

ただ、このGutmann氏の見解に対し、疑問を投げかけている識者も存在しているようです。関心があるようでしたら、その後のTwitterのやり取りをご覧ください。

respectfully, the author of this post does not fully understand the feature. they are incorrect.

would be happy to be proven wrong with a PoC of some new vuln I do not know about though. https://t.co/twDi2CdaBl

— Will Strafach (@chronic) 2018年7月4日

セキュリティをあげると操作性が損なわれ、またその逆はセキュリティの脆弱性を招きます。利便性を優先使用としているかに見えるAppleのこの「認証コード自動入力」機能、今後どのように収束するのか？現段階では「iOS 12」も「macOS Mojave」もどちらもまだ初期のベータ版です。どちらも9月での完成およびリリースの可能性が高いわけですが、このセキュリティ問題を検討するのに残された時間はそれまでの２ヶ月あまりの間、長いのか短いのか。

Source:OneSpan Blog
via:9to5Mac

The following two tabs change content below.

• この記事を書いた人
• 最新の記事

eswai

ガジェット好きなオヤジです。iPhoneやMac・PCを使っていて、ふとしたときに感じた疑問なんかを自分なりに解決した記事を書いていきます。また、時には楽しい動画なんかもアップしていくつもりです。どうぞよろしく！

最新記事 by eswai (全て見る)

• もう登録した？Microsoftの検索エンジンBingでChatGPTを使えるようにする方法 - 2023年3月1日
• Mozilla、Firefox 103.0.1デスクトップ向け修正版をリリース。 - 2022年8月9日
• Mozilla、Firefox 103.0.1デスクトップ向け修正版をリリース。新しい AMD グラフィックカードでのハードウェアアクセラレーションを有効化。 - 2022年8月1日