Sassyブログ

好きなことで暮らしを豊かにするブログ

ワンタイムパスワードの自動入力によるセキュリティリスク

少し前に勉強会で触れた記事でちょっと気になる記事を見かけました。

akaki.io

よく見かけるパスワードを自動入力してくれる機能です。

このワンタイムパスワード自動入力機能がiOS12から搭載されているようで、
この機能を悪用したフィッシングサイトが正規のワンタイムパスワードを入手出来てしまうようです。(かなり怖い。。)

記事を見てみると自動入力の仕組みとしてSMSメッセージに含まれるcodepasscodeを見つけて、そこに表示されている番号がワンタイムパスワードであると認識しているようです。
日本語でもコード確認コードセキュリティコード認証番号が記載されているメッセージは反応してしまうみたいです。

これが現実にどういうリスクがあるのかというと記事内で以下のように述べられています。

「ログインにおける2要素認証の回避」と「ソーシャルログインの偽装による電話番号確認の回避」、「オンライン決済における取引認証の回避」
出典元:フィッシングサイトへの自動入力のリスク

これらを回避するためにワンタイムパスワードとWebサイトを紐づける仕様が提案されているみたい。 ちなみにiOS14からはワンタイムパスワードの自動入力が改善されているようですね。

詳細は記事を見ていただけたらと思います。