Il security code autofill, l’inserimento automatico dei codici di sicurezza, è una nuova funzione per gli iPhone in arrivo con iOS12. Si suppone che migliori l’usabilità dell’autenticazione a due fattori, ma potrebbe anche esporre gli utenti a frodi bancarie online rimuovendo la componente umana di convalida dal processo di firma o autenticazione delle transazioni.
Andreas Gutmann, ricercatore al Cambridge Innovation Centre di OneSpan ha fatto alcune riflessioni per noi.
L’autenticazione a due fattori, ricorda Gutmann, spesso definita verifica in due passaggi, è un elemento essenziale di molti sistemi di sicurezza, in particolare per le transazioni online e l’accesso da remoto. Nella maggior parte dei casi, essa offre una protezione estesa controllando l’accesso a un dispositivo mobile. Nella modalità basata su SMS, ad esempio, un utente registra il proprio numero di telefono con un servizio online.
Quando il servizio rileva un tentativo di accesso all’account dell’utente invia al numero di telefono registrato una One Time Password (OTP), ad esempio un codice da quattro a sei cifre. L’utente legittimo riceve questo codice ed è in grado di inserirlo durante la procedura di accesso, cosa che non sarebbe possibile a un impostore.
Alla conferenza degli sviluppatori WWDC18 dello scorso giugno Apple ha annunciato che in iOS12 automatizzerà quest’ultima fase del processo di autenticazione a due fattori per migliorare la user experience: la funzione di inserimento automatico dei codici di sicurezza (Security Code AutofFill) consentirà al dispositivo mobile di catturare tali codici nei messaggi SMS in entrata e di suggerirli nella parte superiore della tastiera.
Attualmente, l’utente deve attivare l’app e memorizzare il codice da inserire, il che può richiedere un paio di secondi. Alcuni utenti tentano di memorizzare il codice dal banner di anteprima.
La nuova funzione in iOS12 , spiega Gutmann, richiede un singolo tocco da parte dell’utente per inserire automaticamente il codice di sicurezza. Ciò velocizzerà la procedura di accesso e ridurrà gli errori: un miglioramento significativo per l’usabilità dell’autenticazione a due fattori che potrebbe farne aumentare l’adozione tra gli utenti iPhone.
Inoltre, se gli utenti sincronizzano gli SMS con i loro MacBook o iMac, la funzione per l’inoltro dei messaggi di testo abiliterà l’inserimento automatico dei codici di sicurezza anche in Safari.
Perchè può esserci un rischio frodi
È noto, tuttavia, che quando si apportano cambiamenti a una parte di un sistema è necessario valutarne l’impatto su ogni altra parte che interagisce con quella modificata.
Secondo Gutmann, la funzione di inserimento automatico dei codici di sicurezza in iOS12, in particolare, renderà più pratica per gli utenti l’autenticazione a due fattori tramite SMS, ma potrebbe annullare i benefici di sicurezza relativi alla firma delle transazioni e ai numeri di autenticazione delle transazioni, i cosiddetti TAN (Transaction Authentication Numbers).
L’autenticazione delle transazioni, al contrario di quella dell’utente, attesta la correttezza dell’intenzione di un’azione piuttosto che l’identità di chi la compie.
È ampiamente conosciuta nel settore del banking online, ricorda Gutmann, in particolare come strumento per soddisfare i requisiti richiesti dalla PSD2. In questo contesto rappresenta uno strumento essenziale per difendersi da attacchi sofisticati, quali, ad esempio, quelli portati con malware “Man-in-the-browser” o con tecniche di social engineering per indurre la vittima a trasferire denaro su un conto diverso da quello previsto.
Esistono diversi metodi di autenticazione delle transazioni. In quello più diffuso la banca riepiloga i dati della transazione, aggiunge un TAN creato appositamente sulla base di quei dati e invia il tutto al numero di telefono registrato via SMS. L’utente, o il cliente bancario in questo caso, verifica il riepilogo e, se esso corrisponde alle sue intenzioni, inserisce il TAN contenuto nel messaggio SMS nella pagina web.
In questo schema, spiega Gutmann, la nuova funzione di iOS12 può creare dei problemi. Quando è applicata all’autenticazione a due fattori, l’utente non ha più bisogno di aprire e leggere gli SMS in quanto il codice è stato già estratto e presentato in modo pratico. Il rilevamento del codice all’interno dei messaggi si basa sulla presenza di termini prossimi alle parole “codice” o “passcode”, tipicamente utilizzate nella trasmissione di codici TAN e per l’autenticazione a due fattori.
A meno che questa funzione non sia in grado di distinguere in modo affidabile una OTP per l’autenticazione a due fattori da un codice TAN per l’autenticazione della transazione, secondo Gutmann possiamo aspettarci che anche i TAN vengano estratti e presentati senza il contesto dei dati della transazione, quali importo e destinazione. Ma il fatto che un utente verifichi queste informazioni salienti è esattamente ciò che garantisce la sicurezza.
Rimuovere questo passaggio dal processo, per Gutmann, lo renderebbe inefficace aprendo la strada a rischi concreti, ad esempio a un attacco Man-In-The-Middle con il quale i criminali potrebbero alterare a proprio vantaggio i dati di una transazione online che un utente sta effettuando con il proprio MacBook dal browser Safari; o l’accesso di un sito o un’app fraudolenti a un legittimo servizio di banking online.
Suggerimenti per le banche
Poiché le banche continuano a bilanciare i miglioramenti da apportare alla customer experience con la necessità di proteggere se stesse e gli utenti dalle frodi, dovrebbero essere caute rispetto alla nuova funzione di inserimento automatico del codice di sicurezza.
Così Gutmann raccomanda alle banche (e tramite loro agli utenti) di:
• continuare a educare i clienti sull’importanza di verificare attentamente i dettagli delle loro transazioni quando le autenticano, specialmente per coloro che ricevono codici TAN su un iPhone;
• evitare di attivare la funzione di inserimento automatico del codice di sicurezza nei campi utilizzati per immettere i codici TAN per l’autenticazione delle transazioni;
• implementare tecnologie di autenticazione più avanzate come la biometria (ad esempio, impronta digitale o riconoscimento facciale o comportamentale), tecnologie out-of-band (non basate su SMS) e/o notifica push per le transazioni a rischio più elevato (ad esempio il trasferimenti di fondi);
• proteggere le app mobile dal rischio di compromissioni utilizzando la tecnologia di schermatura delle applicazioni e quella RASP (Runtime Application Self Protection).
