3. Juli 2018

Roman van Genabith

iOS 12: Sicherheitsforscher kritisiert automatisches Ausfüllen von Zwei-Faktor-Authentifizierungs-Codes

iOS und macOS lernen mit dem nächsten Update, zugeschickte Codes für Zwei-Faktor-Authentifizierungen automatisch einzusetzen. Was nach zusätzlichem Komfort klingt, beunruhigt nun Sicherheitsforscher. könnt ihr deren Position folgen oder ist das für euch Quatsch?

Apple hat zwar mit iOS 12 und macOS Mojave auf die ganz große Show verzichtet, was äußerliche Änderungen betrifft, doch fanden viele kleine, praktische Neuerungen Eingang in die Systeme.

Eine davon dürften vor allem Nutzer mit schlechtem Zahlengedächtnis begrüßen: Wenn es einmal wieder soweit ist, dass eine App oder ein Dienst einen Code per SMS verschickt, um sich mit einem neuen Gerät oder Browser anzumelden – manchmal passiert das auch einfach präventiv – kann der Nutzer entweder versuchen, sich den Code zu merken, während er als Push-Nachricht angezeigt wird und ihn sofort eingeben oder er muss zuvor in die Nachricht gehen.

Das ist schon etwas lästig und iOS 12 als auch macOS Mojave können diese Codes automatisch erkennen und ins entsprechende Feld einfügen.

Bequemlichkeit schlägt Sicherheit?

Eben an diesem neuen Komfort-Feature stößt sich Sicherheitsforscher Andreas Gutmann. Er meint, durch Funktionen wie diese werde der Mensch zunehmend sorglos und vernachlässige noch mehr als früher Sicherheitserwägungen bei der Nutzung von Onlinediensten.

Sicherheit - Symbolbild
Sicherheit – Symbolbild

Dabei geht es Gutmann eher um etwas grundsätzliches: Funktionen wie das automatische Ausfüllen von Zwei-Faktor-Authentifizierungs-Codes haben das Potenzial, Man-in-the-Middel-Angriffe oder Phishing zu erleichtern, meint er. Gerade bei Onlinebanking sei dies problematisch.

Eine Funktion, die in die von Apple eingeschlagene Richtung geht, gibt es bereits bei der DKB. Dort können Nutzer der Push-TAN-App die TAN per Klick direkt an die DKB-App (Affiliate-Link) schicken, wo sie ins entsprechende Feld eingetragen wird. Der Nutzer muss sich zuvor aber mit seinem separaten Passwort in die Tan2Go-App einloggen.

Eine konkrete Schwachstelle in der Umsetzung von Apple hat Gutmann nicht gefunden.

iOS 12 im Video

‚Apple wird iOS 12 im Herbst für alle Nutzer kompatibler Geräte freigeben. Am iPhone können alle Besitzer eines iPhone 5s oder höher das Update installieren.
Die wichtigsten Highlights des neuen Systems haben wir für euch im Video zusammengefasst.

Hier klicken, um den Inhalt von YouTube anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von YouTube.

„iOS 12 – Alle FEATURES, NEUERUNGEN & iPad mit FaceID? – WWDC Zusammenfassung“ direkt öffnen

* Bei den hier genutzten Produkt-Links handelt es sich um Affiliate-Links, die es uns ermöglichen, eine kleine Provision pro Transaktion zu erhalten, wenn ihr über die gekennzeichneten Links einkauft. Dadurch entstehen euch als Leser und Nutzer des Angebotes keine Nachteile, ihr zahlt keinen Cent mehr. Ihr unterstützt damit allerdings die redaktionelle Arbeit von WakeUp Media®. Vielen Dank!

Weitere Artikel

iPhones 2018: Benchmarks zeigen mögliche A12-Performance und RAM-Ausstattung

Spannend: iOS 12 könnte iPad mit Face ID im Herbst bestätigen

6 Gedanken zu „iOS 12: Sicherheitsforscher kritisiert automatisches Ausfüllen von Zwei-Faktor-Authentifizierungs-Codes“

  1. Es wird doch nicht automatisch der Code eingefügt, sondern über der Tastatur wird vorgeschlagen, ob man diesen Code verwenden möchte. Bei nem Hack-Angriff ist es Jacke wie Hose, ob ich den Code manuell eingebe oder über der Tastatur das Feld antippe. Zumindest versteh ich das so. Falls nicht, kann es mir ja vielleicht jemand erklären.
  2. Kann man nicht auch einfach in den Einstellungen die Anzeigedauer der Nachricht ändern ? Dann hat auf alle Fälle genug Zeit zum ändern
  5. Ich sehe es nicht als ein größeres Risiko an, als aktuell die übliche Praxis wäre. Ich denke, die meisten Menschen kopieren den Code und fügen ihn dann im entsprechenden Programm ein. Somit wäre dies sicherlich die schnellere und weniger anfälligere Variante, als bisher. Ein Merken des Codes und einfügen bringt nur einen Sicherheitsgewinn, wenn der Code auf einem zweiten Gerät angezeigt wird, als dem Gerät der Abfrage. Ansonsten würde auch dies keinen Unterschied machen, da jemand mit Zugriff auf eine App auch Zugriff auf eine zweite haben würde. Damit ist der Schritt Apples IMHO eine sinnvolle Variante, welche zudem die Sicherheit erhöht, da eine raschere Bearbeitung des Vorgangs stattfindet. Auch wenn dieser Aspekt marginal sein dürfte.

Die Kommentare sind geschlossen.