Apple: Alteração na autenticação 2FA trava ataques de phishing via SMS

01 Fev 2022 · Apple 3 Comentários

Por vezes são pequenas alterações que não revelam de imediato as alterações profundas que estão a acontecer. Um desses casos deu-se agora com a Apple a alterar o comportamento do preenchimento automático de dois fatores (2FA) ao receber códigos SMS. Esta alteração quer garantir que esta técnica só funciona em sites e serviços fidedignos.

O preenchimento automático dos códigos enviados por SMS são uma enorme ajuda na utilização dos serviços quer em aplicações, quer na web, via browser, mas é preciso ter sempre cuidado.

Esteja atento à alteração que a Apple está a implementar nos SMS

Se já tiver (e deve ter sempre) a autenticação de dois fatores ativada na sua conta da Apple, provavelmente está familiarizado com os códigos que recebe por mensagem SMS. Estes códigos permitem que o utilizador faça login no seu Apple ID e, se estiver num iPhone, iPad ou Mac, este código será inserido automaticamente ou aparecerá na barra QuickType.

Agora, a Apple mudou as próprias mensagens SMS para garantir que o preenchimento automático funciona apenas em sites reais.

Apesar de ser uma alteração "ligeira", a medida impede as tentativas de phishing com sites que se parecem com os da Apple. Agora a Apple insere um identificador à própria mensagem.

Basicamente a Apple fez o seguinte:

Antes mostrava:

O seu código Apple IS é 123456. Não o partilhe com ninguém.

Em novembro de 2021, a Apple referiu que os códigos iriam aparecer neste formato:

O seu código Apple ID é: 123456. Não o partilhe com ninguém. @apple.com #123456 %apple.com

Qual é a finalidade?

Isso significa que qualquer endereço de site que não esteja no corpo do SMS não funcionará com o preenchimento automático. Nesse caso, é o site da Apple, mas outros também podem aproveitar a mesma alteração para os seus próprios sites e serviços. Isto é, poderá ser estendido a muitos outros serviços.

Embora nada disso seja infalível e as pessoas ainda possam inserir o código manualmente e serem enganadas desta maneira, é já um começo. Idealmente, ninguém deverá usar a autenticação de dois fatores baseada em SMS como primeira opção, mas se o fizer, pelo menos é melhor que não ter nada.

Este artigo tem mais de um ano

Acompanhe o Pplware no Google Notícias

Propor Revisão Proponha uma correção, faça uma sugestão

Autor: Vítor M.

Comentários3

Tiago Ferreira says:

1 de Fevereiro de 2022 às 20:28

Eu tenho a autenticação de 2 fatores ativo na minha conta ID Apple e nunca recebo nenhum SMS com nenhum código, recebo sim um popup que a Apple me envia com um código sempre que faço a minha autenticação na minha conta Apple.

Responder
- :-) says:
  
  1 de Fevereiro de 2022 às 22:13
  
  2FA pode ser em TOTP ou SMS. TOTP é mais seguro, mas existem muitos serviços que ainda o fazem com SMS.
  
  Responder
Joao Ptt says:

4 de Fevereiro de 2022 às 06:40

“Esperemos” que nunca adoptem chaves de segurança FIDO2, ou correm o risco de tornar a vida aos atacantes ainda mais difícil.

Responder

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.