SMSで配信される2ファクタ認証（2FA）コードの自動入力は、iPhoneの便利な機能でが、Appleは、より安全なフォーマットで2ファクタ認証コードを送信するよう企業に要請し始めました

フィッシング詐欺師は、Appleのオートフィルシステムに関連する信頼性を利用しています、被害者がSMSコードを生成するサイトへの悪意のあるリンクをクリックすると、iPhoneのオートフィルはユーザーに代わってコードを貼り付けることを提案し、不注意な被害者に攻撃が信用できるように見せかけるのです

Appleが提案した対策では、企業がSMSコードを安全な形式で送信し、ドメインが一致した場合にのみiPhoneがコードを自動入力するよう求めています

つまり、フィッシング詐欺師があるWebサイトの2ファクタ認証コードを要求しても、そのコードが別のWebサイトから生成された場合、iPhoneは自動入力のオプションを提供しないことにななります、新しいSMSのフォーマットは次のようになります

Your Apple ID Code is: 123456. Don’t share it with anyone.
@apple.com #123456 %apple.com

メッセージは、最初の行にコードが含まれ、人間が読むことができるように構成されています

次の行には、”@”で始まるスコープされたドメイン、”#”で始まるコード、”%”で始まるiframeのソースが含まれています

iframeまたはインラインフレームは、現在のHTMLドキュメント内に別のドキュメントを埋め込むために使用されるHTML要素です

Appleの新システムにはデメリットもあります、iPhoneが悪意のある2ファクタ認証コードの自動入力を提供しない場合、フィッシングの被害者にとっては十分な警告とはならないかもしれません

攻撃者の要求に応じてコードを手動で入力することになるかもしれなません、さらに、このシステムは、2ファクタ認証コードの送信にAppleの新しい規格を採用することを望む企業に依存しています

しかし、これは正しい方向への一歩と言えるます、ユーザーが2ファクタ認証コードを受け取り、それが上記のAppleのフォーマットであるにもかかわらず、ユーザーのiPhoneが自動入力を提供しない場合、それはおそらく不正なものと言えます

(Via Macworld.)