即將在秋季正式推送的 iOS 12，其中一項新特性是可以識別短信中的驗證碼并自動填寫，這個功能大大方便了用戶，但是近日安全專家安德烈亞斯·古特曼(Andreas Gutmann)指出：這樣的自動填充功能可能存在安全隱患，并提醒銀行方面以及程序開發(fā)者們注意加強防范。

今年 6 月的全球開發(fā)者大會(WWDC 2018)上，蘋果宣布了 iOS 12 的新特性：Auto Fill(驗證碼自動填充)，其旨在通過自動讀取短信中的驗證碼，節(jié)省在 Safari 等應(yīng)用中手動輸入表單的麻煩，從而為用戶帶來無縫的注冊流程體驗。

在當(dāng)前絕大部分在線交易和在線訪問都采用雙重身份驗證(2FA)的情況下，驗證碼自動填充無疑方便了用戶。并且，如果你的 Mac 也安裝了最新的 Mojave 測試版系統(tǒng)，短信驗證碼還會通過「接力功能」(Handoff)傳輸?shù)?Mac 上。

雙重身份驗證通常稱為兩步驗證，是許多安全系統(tǒng)的基本要素。在大多數(shù)情況下，2FA 通過檢查用戶是否可以訪問移動設(shè)備來提供擴展的安全性。例如，在基于 SMS 的 2FA 中，用戶要向某個服務(wù)系統(tǒng)發(fā)送自己的手機號，此服務(wù)再向注冊的電話號碼發(fā)送一次性密碼(OTP)，也就是驗證碼來檢驗用戶合法性，用戶接收此代碼并能夠在登錄過程中輸入該代碼，而模仿者無法訪問該代碼。

iOS 12 新功能只需要用戶在接收到驗證碼短信的時候點擊一下，便會自動輸入驗證碼，這將加快登錄過程并減少錯誤。安全專家肯定蘋果這一做法是對 2FA 可用性的重大改進，它還可以提高 iPhone 用戶對 2FA 的采用率。但專家同時警告稱：iOS 12 驗證碼自動填充功能可能會催生隨之而來的欺詐、釣魚攻擊等風(fēng)險。

動態(tài)驗證碼本身是防御復(fù)雜攻擊的重要工具，其中的關(guān)鍵在于必須由用戶接收到并在有效時間內(nèi)主動+手動輸入驗證碼。自動填充直接移除了其中的手動部分，對于用戶來說很方便，但它也抵消了交易簽名和交易驗證號碼(TAN)的安全優(yōu)勢。

iOS 12 的自動填充功能基于觸發(fā)式的消息檢測，比如檢測出類似于“驗證碼”或者“密碼”這樣的單詞(字段)，便會提取相應(yīng)字段進行填充。

惡意網(wǎng)站或惡意軟件也有可能通過這樣的手段提取到驗證碼，進行網(wǎng)銀欺詐。在 MacBook 上通過 Safari 瀏覽器訪問網(wǎng)銀的用戶，可能會受到中間人攻擊。

安全專家提議銀行應(yīng)該對新的驗證碼自動填充功能保持警惕：

1. 教育客戶仔細閱讀驗證短信和詳情的重要性，特別是那些在 iPhone 上接收驗證短信的人(不少人都是隨便看一眼，只留意驗證碼而不留心看短信內(nèi)容)。
2. 銀行可以盡量避免因(可被追蹤到的)特定字段而激活自動填充功能。
3. 采用更高級的身份驗證技術(shù)，例如生物識別技術(shù)(指紋、面部識別等)以及針對高風(fēng)險交易的推送通知。
4. 程序開發(fā)者們基于安全考慮，可以通過自動填充屏蔽和 App 自我保護(RASP)技術(shù)免受攻擊。