少し前に勉強会で触れた記事でちょっと気になる記事を見かけました。
よく見かけるパスワードを自動入力してくれる機能です。
このワンタイムパスワード自動入力機能がiOS12から搭載されているようで、
この機能を悪用したフィッシングサイトが正規のワンタイムパスワードを入手出来てしまうようです。(かなり怖い。。)
記事を見てみると自動入力の仕組みとしてSMSメッセージに含まれるcode
やpasscode
を見つけて、そこに表示されている番号がワンタイムパスワードであると認識しているようです。
日本語でもコード
や確認コード
、セキュリティコード
、認証番号
が記載されているメッセージは反応してしまうみたいです。
これが現実にどういうリスクがあるのかというと記事内で以下のように述べられています。
「ログインにおける2要素認証の回避」と「ソーシャルログインの偽装による電話番号確認の回避」、「オンライン決済における取引認証の回避」
出典元:フィッシングサイトへの自動入力のリスク
これらを回避するためにワンタイムパスワードとWebサイトを紐づける仕様が提案されているみたい。 ちなみにiOS14からはワンタイムパスワードの自動入力が改善されているようですね。
詳細は記事を見ていただけたらと思います。