Apple изменила формат автозаполнения SMS на более новый безопасный, чтобы блокировать фишинговые атаки. И iOS, и macOS поддерживают функцию, позволяющую автоматически вводить коды двухфакторной аутентификации, отправленные по SMS, в поля приложений и браузеров.
Эта функция анализирует код двухфакторной аутентификации из SMS, но он подвергался фишинговым атакам. Поддельные ссылки могут заставить людей автоматически вводить код двухфакторной аутентификации в неправильном месте, что может предоставить хакерам доступ к личным данным.
Новый формат Apple для блокировки фишинговых атак с автозаполнением SMS
Как отмечает Macworld, вот изменение в Форматы СМС. Старый формат выглядел так:
Ваш код Apple ID – 123456. Не сообщайте его никому.
Новый формат выглядит следующим образом:
Ваш код Apple ID: 123456. Не сообщайте его никому. @apple.com #123456 %apple.com
В новом формате SMS конкретно упоминается домен веб-сайтов, на которых можно использовать код двухфакторной аутентификации, поэтому поддельный фишинговый веб-сайт не может получить код, предназначенный для реального веб-сайта. Код также повторяется снова после домена, на этот раз с хэштегом. Если веб-сайт использует iframe, URL-адрес источника iframe указывается после символа %.
Как объявленный еще в августе 2020 года, спецификация предлагает использовать @ для URL-адресов iframe, но Apple выбрала знак %, вероятно, чтобы отличить его от домена.
Это важно отметить, что это изменение является предложением Apple и еще не реализовано в iOS 15 и macOS 12.3. Если это будет реализовано, это защитит от фишинговых атак, но важно помнить, что SMS по-прежнему не является безопасным средством.
Рекомендуется всегда выбирать генераторы кода 2FA, которые доступны через многие сторонние сервисы. сторонние приложения и даже встроены в собственный менеджер паролей Apple в iOS и macOS.