SMS-Codes in iOS 14 sollen sicherer werden
Einmal-Passwörter für die Zwei-Faktor-Authentifizierung sollen künftig mit Domains verknüpft werden. Das soll Phishing und andere Angriffe verhindern.
Die praktische SMS-Code-Funktion gibt es schon seit iOS 12.
(Bild: Apple)
- Jürgen Kuri
iOS kommt seit Version 12 mit einem praktischen Feature, das die Nutzung von SMS-TANs erleichtert. Das Betriebssystem erkennt, wenn eine neue PIN oder ein Code eingegangen sind und bietet dann an, diesen direkt in eine App oder eine Website einzufügen. So bequem die Funktion auch ist – in der Vergangenheit gab es häufiger Kritik an dem auch SMS-Autofill genannten Hilfsmittel. So warnte ein Sicherheitsforscher schon 2018, dass sich Apples Implementierung zumindest theoretisch für Man-in-the-Middle-Angriffe auf Security-Verfahren nutzen lasse – etwa beim Phishing nach Finanzzugangsdaten.
Code mit Domain macht's sicherer
Mit iOS 14, das im Herbst erscheint, soll es hier Verbesserungen bei der Sicherheit geben. Geplant ist ein Verfahren namens "Domain-Bound Code". Damit soll es möglich werden, SMS-TANs mit einer spezifischen Webdomain zu verknüpfen. Die Funktion wird auch in macOS 11 alias Big Sur implementiert, wo SMS-Autofill ebenfalls zur Verfügung steht.
Mit dem Ansatz prüft das Betriebssystem, ob ein Code grundsätzlich zur anfragenden App / Website passt. Ist dem nicht der Fall, wird Autofill nicht durchgeführt. Gehört der Code beispielsweise zu facebook.com, kann er unter iOS 14 und macOS 11 Big Sur nur in die entsprechende Website oder die dazu passende App, bei der die Domain hinterlegt ist, eingefügt werden. So sollen Phishing-Angriffe über SMS-Autofill verhindert werden. Damit das funktioniert, müssen entwickler allerdings ihre Zwei-Faktor-Authentifizierung leicht umstellen – die SMS-TAN muss die Domain auch enthalten. Apples neu implementierter Standard ist entsprehend einfach umsetzbar.
Keine falschen Websites mehr
Eine SMS-TAN, die auf "@example.com #123456" endet, interagiert dann nur mit example.com – und nicht etwa mit example.net. SMS-Autofill wird also für eine falsche (etwa Phishing-)Website nicht offeriert. Apple wird Domain-Bound Codes zunächst allerdings nicht erzwingen.
SMS-Autofill funktioniert also auch in iOS 14 und macOS 11 wie gewohnt mit "normalen" SMS-TANs weiter. Der Konzern empfiehlt seinen Entwicklern aber, zu dem neuen Feature zu greifen. Ob es irgendwann zwangsweise eingeführt wird, bleibt abzuwarten – aus Sicherheitsperspektive sinnvoll wäre es. (jk)
