Apple ha cambiado su formato de autocompletado de SMS a uno más nuevo y seguro para bloquear los ataques de phishing. Tanto iOS como macOS admiten una función que permite que los códigos de autenticación de dos factores enviados por SMS se completen automáticamente en los campos de las aplicaciones y los navegadores.
Esta función analizaría el código de autenticación de dos factores de un SMS, pero estaba siendo abusado por ataques de phishing. Los enlaces falsos podrían engañar a las personas para que completen automáticamente un código de autenticación de dos factores en el lugar equivocado, lo que podría proporcionar acceso a datos privados a los piratas informáticos.
Nuevo formato de Apple para bloquear ataques de phishing de autocompletado de SMS
Como señaló Macworld, este es el cambio en el Formatos de SMS. El anterior se veía así:
Tu código de ID de Apple es 123456. No lo compartas con nadie.
El formato más nuevo se ve así:
Tu código de ID de Apple es: 123456. No lo compartas con nadie. @apple.com #123456 %apple.com
El nuevo formato de SMS menciona específicamente el dominio de los sitios web donde se puede usar el código de autenticación de dos factores, por lo que un sitio web falso de phishing no puede recibir un código destinado a un sitio web real. El código también se vuelve a repetir después del dominio, esta vez con un hashtag. Si el sitio web utiliza un iframe, la URL de origen del iframe se menciona después de un símbolo %.
Como anunciado en agosto de 2020, la especificación sugiere usar @ para URL de iframe, pero Apple optó por el signo %, probablemente para diferenciarlo del dominio.
Es importante señalar que este cambio es una propuesta de Apple y aún no se ha implementado en iOS 15 y macOS 12.3. Si se implementa, protegerá contra los ataques de phishing, pero es importante recordar que los SMS todavía no son un medio seguro.
Se recomienda optar siempre por generadores de códigos 2FA, que están disponibles a través de muchos terceros. aplicaciones para fiestas, e incluso integrado en el propio administrador de contraseñas de Apple en iOS y macOS ahora.