Apple, schiaffo agli attacchi phishing: l’autenticazione a due fattori via SMS è adesso più sicura

Apple ha studiato un meccanismo per rendere più sicuro il funzionamento del riempimento automatico dagli SMS

Apple si conferma tra le aziende più attente in tema di sicurezza e l’ultimo accorgimento adottato dal gigante di Cupertino rappresenta una sorta di risposta rispetto allo strapotere degli attacchi phishing. Secondo quanto riportato da 9To5Mac, Apple ha infatti reso più sicura l’autenticazione a due fattori tramite SMS, validando la funzione di riempimento automatico soltanto in presenza di una corrispondenza tra il dominio e il sito da cui proviene la richiesta di accesso.

iPhone autenticazione a due fattori SMS
Il nuovo meccanismo adottato da Apple su iOS (AdobeStock)

Volendo contestualizzare meglio il discorso, l’azienda di Cupertino generava un apposito messaggio (ad esempio, “Il tuo codice ID Apple è il seguente. Non condividerlo con nessuno”) non appena si tentava di accedere all’ID Apple da un dispositivo sconosciuto. Questo messaggio è stato trasformato da qualche settimana con l’inserimento e la precisazione di un dominio di destinazione, in conformità con il nuovo standard che Apple ha ufficializzato e chiesto di utilizzare alle aziende. Questo perché, tiene a precisare Apple, la maggior parte degli attacchi phishing indirizza l’utente verso un sito fasullo, simile nell’estetica all’originale ma di fatto completamente diverso dal portale per così dire legittimo, così da fare inserire alla malcapitata vittima le proprie credenziali.

FORSE TI INTERESSA ANCHE >>> iPhone contraffatti: truffa milionaria ai danni di Apple

Come funziona il nuovo meccanismo di autofill negli SMS

iPhone autenticazione a due fattori SMS
La funzione autofill nell’autenticazione a due fattori di iOS (Immagine by 9To5Mac.com)

Grazie al nuovo meccanismo congegnato da Apple, i dispositivi offriranno la compilazione automatica di un codice di verifica soltanto se ci sarà una corrispondenza tra i domini. Immaginate di ricevere un SMS che indica di inserire il codice di autenticazione su un sito che si spaccia come apple.com: se il collegamento è diverso, iOS non offrirà all’utente l’opzione di riempimento automatico.

Parallelamente, l’azienda ha annunciato che le aziende potranno utilizzare un nuovo standard per scrivere gli SMS contenenti codici monouso, il quale dovrà prevedere alcuni elementi, come il messaggio con il codice, il dominio web ufficiale dell’azienda, il codice monouso preceduto dal simbolo cancelletto e, laddove il sito faccia uso di iframe, dovrà esserci evidenziazione di quest’ultimo e l’inserimento del simbolo percentuale.

FORSE TI INTERESSA ANCHE >>> Come utilizzare lo smartphone Android come telecomando per il televisore Android TV

È chiaro che non si tratta di una soluzione definitiva, ma nell’immaginario di Apple dovrebbe comunque fare insospettire l’utente: basterà guardare il nome di dominio e valutare quindi la legittimità della richiesta. Ricordiamo, in ogni caso, che è preferibile l’utilizzo di generatori di codici attraverso app di terze parti appositamente realizzate anziché gli SMS.