iOS 12“验证码自动填充”功能存在隐患 用户或受网银欺诈之害

外媒报道称，尽管苹果在 iOS 12 中引入了大量增强的安全特性，但是“安全码自动填充”功能还是将用户暴露于银行欺诈的巨大危险面前。在今年 6 月的全球开发者大会（WWDC 2018）上，苹果宣布了这项新特性。其旨在通过自动读取短信中的验证码，节省在 Safari 等应用中手动输入表单的麻烦，从而为用户带来无缝的注册流程体验。

乍一看，这是一项能够显著提升可用性的功能，但安全专家安德烈亚斯·古特曼（Andreas Gutmann）警告称：

  这样的实现，最终更可能会对建议签名和交易身份验证码（TANs）产生影响。

  换言之，银行用于身份验证和签署事务的安全系统，可能会在恶意和中间人等技术攻击手段面前失效。

  让用户验证这一重要信息，正是出于安全的考量。移除这一过程，会使它变得无意义。

  安全码自动填充功能给网银带来的安全风险例子包括：

  （1）在 MacBook 上通过 Safari 浏览器访问网银的用户，可能会受到中间人攻击；

  （2）如有需要，可注入必要的字段标签；

  （3）恶意网站或应用程序，可能借此‘合法访问’网银服务。

  需要用户交互的手动验证步骤，是确保网络犯罪分子无法绕过银行部署的安全功能的必备条件。

  值得庆幸的是，在 iOS 12 中，苹果还是鼓励用户启用‘双因素认证’，这使得通过短信发送的验证码会相对更安全一些。

  另一方面，通过绕过人类手工的验证过程，iOS 12 的安全代码自动填充功能会使之变得毫无用处、容易让用户和银行都暴露于别有用心的攻击者面前。