Zwei-Faktor-Authentisierung: Apple blockiert SMS-Autofill bei Phishing-Versuchen
Obwohl es deutlich sicherere Login-Verfahren gibt, ist die Anmeldung mithilfe von Benutzerkennungen und Passwörtern nach wie vor weit verbreitet. Apple, Google und etliche weitere Unternehmen bemühen sich daher seit geraumer Zeit, die Nutzer von anderen Methoden zu überzeugen, beispielsweise der Zwei-Faktor-Authentisierung (2FA). Dabei kommen unter anderem Einmal-Passwörter oder Bestätigungscodes zum Einsatz, welche per SMS verschickt werden.
SMS-Autofill ist komfortabel, aber anfällig2FA empfinden zahlreiche iPhone-Besitzer sowie Nutzer anderer Smartphones allerdings als wenig komfortabel. Apple hat iOS daher bereits vor einigen Jahren mit einem praktischen Feature ausgestattet: SMS-Autofill. Per Kurznachricht empfangene Verifikationscodes werden dadurch direkt an Safari oder andere Apps weitergeleitet, das Eintippen der Zahlenkombination ist also nicht mehr erforderlich. Allerdings kommt es immer wieder vor, dass per SMS Phishing-Versuche unternommen werden. In jüngster Zeit etwa landen immer wieder einmal gefälschte Paketankündigungen in iMessage, solche und andere Attacken werden durch die Autofill-Funktion erleichtert, wenn der Nutzer unaufmerksam ist.
Unterschiedliche Domains verhindern automatisches AusfüllenApple hat deshalb im April 2020 ein standardisiertes Format vorgeschlagen, das die Sicherheit erhöhen soll (siehe
). Seit einigen Monaten setzt das kalifornische Unternehmen diese neue Art der SMS beim Verschicken der eigenen Codes ein. Jetzt ist der iPhone-Konzern laut
Macworld dazu übergegangen, SMS-Autofill zu verhindern, wenn eine Nachricht nicht den Vorgaben entspricht. Diese besagen, dass der Bestätigungscode als Zweizeiler verschickt werden muss. Die erste Zeile lautet beispielsweise "Dein Zugangscode ist 123456". In der zweiten folgen Informationen für die App oder Webseite, sie sieht etwa folgendermaßen aus: "@apple.com #123456". Falls die Login-Webseite einen Inlineframe enthält, kommt noch ein weiteres Element hinzu: "%apple.com". Stellen iOS/iPadOS 15 beim Empfang einer 2FA-Nachricht fest, dass die Domain des angeblichen Absenders nicht mit jener des tatsächlichen Ziels übereinstimmt, wird Autofill für diesen Vorgang nicht angeboten. Gleiches gilt auch für macOS Big Sur und macOS Monterey.
Fehlendes Autofill kann Hinweis auf Phishing seinHundertprozentige Sicherheit bietet dieses neue Feature natürlich nicht, zumal noch längst nicht alle Webseiten und Apps das neue Format unterstützen. Allerdings stellt das Fehlen der Autofill-Option nach dem Empfang eines Bestätigungscodes einen Hinweis dar, dass es sich bei der SMS möglicherweise um einen Phishing-Versuch handelt. iPhone-, iPad- und Mac-Nutzer sollten sich daher in einem solchen Fall die Kurznachricht genau ansehen und dabei vor allem auf die angegebene Domain achten. Falls diese auch nur ansatzweise verdächtig erscheint, befördert man sie am besten umgehend in den Papierkorb.