Schwachstelle iOS Autofill-Funktion

Neues iOS 12 Feature verselbstständigt Online-Banking

, München, OneSpan | Autor: Andreas Gutmann

Neues iOS 12 Feature verselbstständigt Online-Banking

AutoFill ist Fraudsters Liebling

Ein Gastbeitrag von Andreas Gutmann, Forscher am OneSpan Cambridge Innovation Center

Andreas Gutmann, Forscher am OneSpan Cambridge Innovation Center

Das automatische Einfügen von Sicherheitscodes (AutoFill) ist eines der neuen Features von iOS 12, das im Herbst erscheinen wird. Damit soll eigentlich die Benutzerfreundlichkeit der Zwei-Faktor-Authentifizierung (2FA) weiter verbessert werden. Aber tatsächlich ist es möglich, dass durch diese vermeintliche Verbesserung ahnungslose Anwender beim Online-Banking zum Opfer von Betrügereien werden: AutoFill umgeht den menschlichen Validierungsaspekt des Transaktionssignierungs- und Authentifizierungsprozesses.

Zwei-Faktor-Authentifizierung, oft als zweistufige Verifizierung bezeichnet, ist ein wesentliches Element vieler Sicherheitssysteme, insbesondere für Online-Transaktionen und Remote-Zugriff. In den meisten Fällen bietet 2FA erweiterte Sicherheit, indem überprüft wird, ob der Anwender Zugriff auf ein mobiles Gerät hat. Bei der SMS basierten 2FA zum Beispiel registriert ein Benutzer seine Telefonnummer bei einem Online-Dienst. Erkennt der Dienst einen Anmeldeversuch für das entsprechende Benutzerkonto, sendet er ein One-Time–Passwort (OTP), beispielsweise 4 oder 6 Ziffern, an die hinterlegte Telefonnummer. Nur der legitime Benutzer kann jetzt die Anmeldung mittels des empfangenen Codes autorisieren.

Das neue Feature „Security Code AutoFill“, Bestandteil des im Herbst erscheinenden iOS 12, macht Online-Banking so bequem wie nie, indem es Transaktionscodes aus mTANS oder SMS ausliest und automatisch in die entsprechende Eingabemaske für die Transaktionsauthentifizierung einer Überweisung einblendet. Das ist zwar komfortabel für Bankkunden, bietet aber vor allem Cybergangstern neue Angriffsvektoren und Verdienstmöglichkeiten

Auf der WWDC18-Entwicklerkonferenz im Juni gab Apple bekannt, dass dieser letzte Schritt des 2FA-Prozesses in iOS 12 automatisiert wird um die Benutzerfreundlichkeit weiter zu verbessern. Mit der Security Code AutoFill-Funktion, die derzeit Entwicklern in einer Beta-Version zur Verfügung steht, kann das Mobilgerät eingehende SMS nach solchen Codes durchsuchen und sie auf der Standardtastatur als Vorschlag einblenden.

Verbesserte Benutzererfahrung – koste es was es wolle

Die Wirkweise solcher SMS-Codes beruht darauf, dass der Benutzer aktiv die Apps wechselt und sich den Code merkt, was einige Sekunden dauern kann. Einige User versuchen daher, sich den Code aus dem Vorschau-Banner zu merken und dann einzugeben. Apples neue iOS-Funktion erfordert nur eine einzige Berührung des Bildschirms, um den Sicherheitscode automatisch einzugeben. Dies beschleunigt den Login-Prozess und reduziert Fehler, was die Benutzerfreundlichkeit von 2FA deutlich verbessert. Synchronisieren Anwender SMS mit ihrem MacBook oder iMac, dann sorgt zudem die vorhandene Funktion zum Weiterleiten von Textnachrichten dafür, dass automatisch Codes vom iPhone versendet werden und die AutoFill-Funktion in Safari aktiviert wird.

Die Reduktion von Reibungsverlusten bei der Benutzerinteraktion mit dem Ziel, die Akzeptanz von bestehenden Technologien durch den Anwender zu verbessern und die Benutzerfreundlichkeit und Zufriedenheit für bestehende User zu erhöhen, ist kein neues Konzept. Es wurde bereits ausführlich in akademischen Kreisen diskutiert und ist auch ein erklärtes Ziel der Industrie, z.B. bei Banken und Finanzdienstleistern. So haben die Finanz- und Zahlungsbranche beispielsweise kontaktlose Zahlungen (Near Field Communication oder NFC) gefördert, wodurch Transaktionen unterhalb einer bestimmten Schwelle wesentlich schneller abgewickelt werden als bei herkömmlichen Chip- und PIN-Zahlungen.

Beispiel der neuen Security Code AutoFill-Funktion auf dem iPhone. Quelle: Apple

Nur der reine Wille zählt

Softwarearchitekten und Designer, insbesondere im Bereich der Computersicherheit, wissen wie wichtig es ist, die Auswirkungen von Änderungen an Teilen des Systems auf andere Komponenten zu bewerten. Im Fall der Security Code AutoFill-Funktion von iOS 12 wird zwar die SMS-basierte 2FA für den Benutzer komfortabler, allerdings geht dies klar zu Lasten Sicherheitsvorteile, welche Transaktionssignierung und Transaktionsauthentifizierungsnummern (TANs) bieten. Denn die Transaktionsauthentifizierung bestätigt im Gegensatz zur Benutzerauthentifizierung die Richtigkeit der Intention einer Aktion, also den Willen eine Transaktion durchzuführen und eben nicht nur die Identität eines Benutzers.

Dieser Vorgang ist Standard beim Online-Banking und von besonderer Relevanz zur Erfüllung der Auflagen, welche die revidierte Zweite Zahlungsdienstrichtlinie (PSD2) hinsichtlich Dynamic-Linking vorschreibt. Damit wird Transaktionsauthentifizierung zu einem wichtigen Instrument zur Abwehr von hochentwickelten Betrugsangriffen.

Pishing, Vishing und der Mann im Browser

Social-Engineering-Techniken wie Phishing, Vishing und Tools wie Man-in-the-Browser-Malware werden häufig von Betrügern eingesetzt, um ahnungslose Opfer um ihr Geld zu bringen, indem der Überweisungsbetrag auf ein anderes als das ursprüngliche vorgesehene Konto umgeleitet wird. Transaktionsauthentifizierung ist ein geeignetes Mittel um sich gegen diese Form von Fraud zu schützen. Dazu gibt es verschiedene Ansätze, die derzeit am häufigsten verwendete Methode sieht wie folgt aus: Die Bank fasst die Transaktionsdaten zusammen und fügt eine speziell aus diesen Informationen erstellte TAN hinzu. Beides wird an die registrierte Telefonnummer per SMS gesendet. Der Bankkunde sollte nun die Zusammenfassung überprüfen, und wenn diese Übersicht seinen Absichten entspricht, die TAN aus der SMS-Nachricht auf der Online-Banking-Webseite eingeben.

Kritiker des SMS-basierten OTP, sowohl für 2FA oder Transaktionsauthentifizierung, bezeichnen dieses Verfahren als unsicher. In den letzten Jahren hat das National Institute of Standards and Technology (NIST) beispielsweise SMS öffentlich als Kommunikationsmedium kritisiert und als unsicher und daher ungeeignet für eine starke Authentifizierung bezeichnet. Unlängst aber haben sie ihr Wording etwas entschärft, SMS 2FA wird nun als „veraltet“ bezeichnet. Trotz alledem gilt SMS 2FA nach wie vor als ausreichend sicher, um unter PSD2 für Strong Customer Authentication (SCA) verwendet zu werden.

AutoFill ist Fraudsters Liebling

Security Code AutoFill ist problematisch bei der Verwendung von SMS für die Transaktionsauthentifizierung. Für die 2FA beispielsweise muss kein Bankkunde mehr die SMS seiner Bank öffnen und lesen, der Code wird bequem extrahiert und angezeigt. Heuristische Verfahren erkennen den Code innerhalb einer SMS 2FA oder mTAN anhand der Nähe zu bestimmten Schlüsselwörtern wie beispielsweise „TAN“ oder „Überweisung“. Ist jetzt das Eingabefeld auf einer Banking-Seite oder in einer Banking-App markiert, wird AutoFill aktiviert. Aber auch ohne AutoFill muss davon ausgegangen werden, dass viele Bankkunden den Kontext zwischen TANs und den Transaktionsdaten, beispielsweise Zielkontonummer und Überweisungsbetrag, unbeachtet lassen und damit ihre persönliche Sicherheit vernachlässigen.

Denn die Schutzwirkung tritt nur dann ein, wenn ein Zahler die eigentlich doch so wichtigen Informationen sorgfältig verifiziert. Wird diese Prüffunktion aus dem Prozess entfernt, haben potentielle Angreifer leichtes Spiel. Eine verbesserte Benutzerfreundlichkeit von 2FA wird sicherlich die Akzeptanz dieser Authentifizierungsmöglichkeit unter den Apple-Usern steigern, Prognosen in diesem Fall sind jedoch mit Vorsicht zu genießen. Es ist denkbar, dass SMS-basierte Transaktionsauthentifizierung als etablierte Technologie beim Onlinebanking weiterhin Verwendung findet. Allerdings ist zu befürchten, dass Banken in diesem Fall die Haftung für „nicht ausreichend verifizierte Transaktion“ auf den Kunden abwälzen. Ob dieses Vorgehen gerechtfertigt ist, ist sowohl eine philosophische als auch eine rechtliche Frage.

Was Finanzinstitutionen jetzt beachten sollten

Finanzinstitutionen sind permanent bestrebt, das mobile und Online-Banking-Erlebnis weiter zu verbessern und sich selbst, aber auch ihre Kunden, vor Cyberangriffen zu schützen. Eben aus diesen Gründen sollten sie sich hüten, AutoFill zu unterstützen. OneSpan empfiehlt die folgenden Maßnahmen zur Transaktionssicherung:

  • Kunden, insbesondere jene die TANs auf ein iPhone gesendet bekommen, sollten darüber informiert werden, wie wichtig die Verifikation der Transaktionsdetails für eine sichere Authentifizierung ist.
  • Die Aktivierung der AutoFill-Funktion für Felder, die zur Eingabe von TANs zur Transaktionsauthentifizierung dienen, sollte unbedingt vermieden werden.
  • Empfohlen wird die Implementierung fortschrittlicher Authentifizierungstechnologien wie Biometrie (z. B. Fingerabdruck, Gesicht, Verhaltenserkennung), Out-of-Band-Technologie (nicht SMS-basiert) oder Push-Benachrichtigung für Transaktionen mit höherem Risiko, beispielsweise Geldtransfers.
  • Mobile-Banking-Apps sind mittels App-Shielding und Runtime Application Self Protection (RASP) vor betrügerischen Manipulationen zu schützen.

Über OneSpan

OneSpan ermöglicht es Finanzinstituten und anderen Organisationen erfolgreich zu sein, indem wir sie auf ihrem Weg zur Digitalisierung ermutigen und unterstützen. Wir tun dies, indem wir das Vertrauen in die Identitäten der Menschen stärken, den von ihnen verwendeten Geräten und den Transaktionen, die ihr Leben prägen. Wir sind davon überzeugt, dass dies die Grundlage für mehr Wertschöpfung und Wachstum ist. Mehr als 10.000 Kunden, darunter mehr als die Hälfte der 100 weltweit führenden Banken, vertrauen bereits auf Lösungen von OneSpan zum Schutz ihrer wichtigsten Beziehungen und Geschäftsprozesse. Vom digitalen Onboarding über die Betrugsbekämpfung bis zum Workflow-Management – die einheitliche, offene Plattform von OneSpan reduziert Kosten, beschleunigt die Kundenakquise und erhöht die Kundenzufriedenheit. VASCO and eSignLive are now OneSpan.