Apple hat sein SMS-Autofill-Format in ein neueres, sicheres geändert, um Phishing-Angriffe zu blockieren. Sowohl iOS als auch macOS unterstützen eine Funktion, mit der per SMS gesendete Zwei-Faktor-Authentifizierungscodes automatisch in Felder in Apps und Browsern eingefügt werden können.
Diese Funktion würde den Zwei-Faktor-Authentifizierungscode aus einer SMS parsen, aber es wurde von Phishing-Angriffen missbraucht. Gefälschte Links könnten Menschen dazu verleiten, einen Zwei-Faktor-Authentifizierungscode an der falschen Stelle automatisch auszufüllen, wodurch Hacker Zugriff auf private Daten erhalten könnten.
Neues Format von Apple zum Blockieren von Phishing-Angriffen zum automatischen Ausfüllen von SMS
Wie von Macworld angemerkt, ist hier die Änderung in der SMS-Formate. Das ältere sah so aus:
Ihr Apple-ID-Code ist 123456. Teilen Sie ihn mit niemandem.
Das neuere Format sieht so aus:
Ihr Apple-ID-Code lautet: 123456. Teilen Sie ihn mit niemandem. @apple.com #123456 %apple.com
Das neuere SMS-Format erwähnt ausdrücklich die Domain der Websites, auf denen der Zwei-Faktor-Authentifizierungscode verwendet werden kann, sodass eine gefälschte Phishing-Website nicht empfangen werden kann ein Code, der für eine tatsächliche Website gedacht ist. Auch nach der Domain wird der Code noch einmal wiederholt, diesmal mit einem Hashtag. Wenn die Website einen Iframe verwendet, wird die Quell-URL des Iframes nach einem %-Symbol erwähnt.
Als angekündigt bereits im August 2020, die Spezifikation schlägt vor, @ für Iframe-URLs zu verwenden, aber Apple hat sich für das %-Zeichen entschieden, wahrscheinlich um es von der Domain zu unterscheiden.
Es Es ist wichtig zu beachten, dass diese Änderung ein Vorschlag von Apple ist und noch in iOS 15 und macOS 12.3 implementiert werden muss. Wenn es implementiert wird, schützt es vor Phishing-Angriffen, aber es ist wichtig zu bedenken, dass SMS immer noch kein sicheres Medium ist.
Es wird empfohlen, sich immer für 2FA-Code-Generatoren zu entscheiden, die über viele Drittanbieter erhältlich sind. Party-Apps und ist jetzt sogar in Apples eigenen Passwort-Manager in iOS und macOS integriert.
