­　　即將在秋季正式推送的 iOS 12，其中一項(xiàng)新特性是可以識(shí)別短信中的驗(yàn)證碼并自動(dòng)填寫，這個(gè)功能大大方便了用戶，但是近日安全專家安德烈亞斯·古特曼（Andreas Gutmann）指出：這樣的自動(dòng)填充功能可能存在安全隱患，并提醒銀行方面以及程序開發(fā)者們注意加強(qiáng)防范。

­　　今年 6 月的全球開發(fā)者大會(huì)（WWDC 2018）上，蘋果宣布了 iOS 12 的新特性：Auto Fill（驗(yàn)證碼自動(dòng)填充），其旨在通過自動(dòng)讀取短信中的驗(yàn)證碼，節(jié)省在 Safari 等應(yīng)用中手動(dòng)輸入表單的麻煩，從而為用戶帶來無縫的注冊(cè)流程體驗(yàn)。

­　　在當(dāng)前絕大部分在線交易和在線訪問都采用雙重身份驗(yàn)證（2FA）的情況下，驗(yàn)證碼自動(dòng)填充無疑方便了用戶。并且，如果你的 Mac 也安裝了最新的 Mojave 測(cè)試版系統(tǒng)，短信驗(yàn)證碼還會(huì)通過「接力功能」（Handoff）傳輸?shù)?Mac 上。

­　　雙重身份驗(yàn)證通常稱為兩步驗(yàn)證，是許多安全系統(tǒng)的基本要素。在大多數(shù)情況下，2FA 通過檢查用戶是否可以訪問移動(dòng)設(shè)備來提供擴(kuò)展的安全性。例如，在基于 SMS 的 2FA 中，用戶要向某個(gè)服務(wù)系統(tǒng)發(fā)送自己的手機(jī)號(hào)，此服務(wù)再向注冊(cè)的電話號(hào)碼發(fā)送一次性密碼（OTP），也就是驗(yàn)證碼來檢驗(yàn)用戶合法性，用戶接收此代碼并能夠在登錄過程中輸入該代碼，而模仿者無法訪問該代碼。

­　　iOS 12 新功能只需要用戶在接收到驗(yàn)證碼短信的時(shí)候點(diǎn)擊一下，便會(huì)自動(dòng)輸入驗(yàn)證碼，這將加快登錄過程并減少錯(cuò)誤。安全專家肯定蘋果這一做法是對(duì) 2FA 可用性的重大改進(jìn)，它還可以提高 iPhone 用戶對(duì) 2FA 的采用率。但專家同時(shí)警告稱：iOS 12 驗(yàn)證碼自動(dòng)填充功能可能會(huì)催生隨之而來的欺詐、釣魚攻擊等風(fēng)險(xiǎn)。

­　　動(dòng)態(tài)驗(yàn)證碼本身是防御復(fù)雜攻擊的重要工具，其中的關(guān)鍵在于必須由用戶接收到并在有效時(shí)間內(nèi)主動(dòng)+手動(dòng)輸入驗(yàn)證碼。自動(dòng)填充直接移除了其中的手動(dòng)部分，對(duì)于用戶來說很方便，但它也抵消了交易簽名和交易驗(yàn)證號(hào)碼（TAN）的安全優(yōu)勢(shì)。

­　　iOS 12 的自動(dòng)填充功能基于觸發(fā)式的消息檢測(cè)，比如檢測(cè)出類似于“驗(yàn)證碼”或者“密碼”這樣的單詞（字段），便會(huì)提取相應(yīng)字段進(jìn)行填充。

­　　惡意網(wǎng)站或惡意軟件也有可能通過這樣的手段提取到驗(yàn)證碼，進(jìn)行網(wǎng)銀欺詐。在 MacBook 上通過 Safari 瀏覽器訪問網(wǎng)銀的用戶，可能會(huì)受到中間人攻擊。

­　　安全專家提議銀行應(yīng)該對(duì)新的驗(yàn)證碼自動(dòng)填充功能保持警惕：

­　　1. 教育客戶仔細(xì)閱讀驗(yàn)證短信和詳情的重要性，特別是那些在 iPhone 上接收驗(yàn)證短信的人（不少人都是隨便看一眼，只留意驗(yàn)證碼而不留心看短信內(nèi)容）。

­　　2. 銀行可以盡量避免因（可被追蹤到的）特定字段而激活自動(dòng)填充功能。

­　　3. 采用更高級(jí)的身份驗(yàn)證技術(shù)，例如生物識(shí)別技術(shù)（指紋、面部識(shí)別等）以及針對(duì)高風(fēng)險(xiǎn)交易的推送通知。

­　　4. 程序開發(fā)者們基于安全考慮，可以通過自動(dòng)填充屏蔽和 App 自我保護(hù)（RASP）技術(shù)免受攻擊。