iOS12の新機能、認証コード自動入力に「セキュリティ上の懸念」研究者が指摘

iOS12とmacOS Mojaveでは、SMSで送られてくる認証コードを自動で読み取って入力する機能が利用可能になります。しかし、この機能がオンラインバンキングなどで利用されることにはセキュリティ上の問題がある、と研究者が指摘しています。
SMSで送られてくる認証コード自動入力機能にセキュリティリスク
iOS12とmacOS Mojaveの認証コード自動入力機能は、ログイン時の2ファクタ認証用にSMSで送られてくる数字を覚えて入力する必要がなくなる新機能です。
しかし、セキュリティ企業OneSpanの研究者アンドレアス・ガットマン氏は、この機能によって人間の目を介さずに認証コードが入力されるため、正しいユーザーになりすました攻撃が可能になるリスクがある、と指摘しています。
オンラインバンキング狙った詐欺のリスクが高まる
iOS12の認証コード自動入力機能は、悪意のある攻撃者が入力フィールドの情報の内容を盗み取る、中間者攻撃(Man-in-the-Middle Attack)による詐欺のリスクを高める可能性がある、とガットマン氏は警鐘を鳴らしています。
ガットマン氏は、オンラインバンキングで使われている「取引認証は、ユーザーの意志が正当なものであることを確認する目的があり、単に本人であることを確認するユーザー認証とは違う」と強調して、認証コード自動入力がオンラインバンキングなどに使われることへの懸念を表明しています。
9月に正式版公開見込みのiOS12とmacOS Mojave
iOS12とmacOS Mojaveは、現在開発者向けのベータ3が公開されているほか、登録ユーザー向けのパブリックベータも公開されています。
今後、ベータバージョンを上げながら不具合の修正などが行われ、一般ユーザー向けの正式版が9月に公開されると見込まれています。
Source: OneSpan via 9to5Mac
(hato)