En la autenticación de doble factor (2FA) es relativamente común, si no usamos el llavero de iCloud, que recibamos el código a través de un SMS. De ser así nuestro iPhone o iPad es capaz de detectar ese código y ofrecernos autocompletarlo en el sitio o aplicación en el que estamos iniciando sesión de forma automática, una característica que ahora es a prueba de phishing.
Un nuevo estándar para evitar colocar el código donde no es
El autorrelleno de los códigos de doble factor es, sin duda, de gran utilidad. Su uso, sin embargo, puede explotarse en ataques de phishing. ¿Cómo? Un sitio malintencionado puede, haciéndose pasar por otro, solicitar el usuario y la contraseña a un usuario. A posteriori puede pasar este login al sitio real para que el sitio real mande el código por SMS a la víctima. Después de que esta introduzca el código la página malintencionada lo utiliza en el sitio web real y gana acceso completo.
Este último paso, el de rellenar el código de doble factor en un sitio de phishing, es justo el que ahora no será posible. Desde hace algunas semanas, Apple ha solicitado a las diferentes entidades que utilizan el envío de SMS con códigos de doble factor que incluyan el dominio al cual el código pertenece.
Una medida para evitar que el código correcto vaya al sitio web equivocado.
Gracias a esto el sistema compara que la URL estipulada …