Grazie alla funzione di completamento automatico, gli utenti iPhone non devono memorizzare al volo i codici di autenticazione ricevuti tramite SMS per poi digitarli all’interno dell’app, portale o servizio per completare la procedura di autenticazione a due fattori. Ora però Apple ha deciso di migliorare la sicurezza di questa funzione bloccando il completamento automatico per i codici via SMS che potrebbero provenire da malintenzionati e da attacchi di phishing che tentano di rubare dati degli utenti.
In sostanza Apple richiede che le società inviino codici via SMS impiegando un formato più sicuro. Solo gli SMS provenienti dal dominio corrispondente e legittimo offriranno agli utenti la procedura veloce tramite completamento automatico, viceversa se il dominio non corrisponde allora la funzione di completamento automatico non risulta disponibile.
Già a partire dalla fine del 2021 gli SMS contenenti i codici per l’autenticazione a due fattori inviati da Apple agli utenti sono in questo formato:
Il tuo codice Apple ID è: 123456. Non condividerlo con nessuno.
@apple.com #123456 %apple.com
In breve il formato degli SMS deve rispettare quattro punti:
- Un messaggio standard leggibile, incluso il codice, seguito da una nuova riga
- Il dominio con ambito come @domain.ltd
- Il codice è ripetuto di nuovo preceduto dal simbolo cancelletto, ad esempio #123456
- Se il sito utilizza un elemento HTML incorporato, chiamato iframe, l’origine dell’iframe viene elencata dopo il simbolo %, ad esempio %ecommerce.example. Le specifiche originali specificano l’uso del simbolo @, anche se Apple sembra utilizzare il simbolo della percentuale % per i suoi messaggi.
Il sistema escogitato da Apple non è perfetto né a prova di errore, perché è sempre l’utente che deve accorgersi dell’assenza della funzione di completamento automatico, come rileva Macworld. In questo caso infatti il dominio non corrisponde a quello ufficiale, quindi potrebbe trattarsi di un attacco malware o phishing.
In generale i codici inviati via SMS non costituiscono una forma totalmente sicura di autenticazione a due fattori, meglio infatti usare i generatori di codici usa e getta, disponibili sotto forma di app. Ricordiamo che in iOS 15 Apple ha integrato un generatore di codici direttamente su iPhone. Infine occorre sempre ricordare che non è mai sicuro effettuare un tap o un clic direttamente dai messaggi ricevuti: è sempre meglio e consigliabile, oltre che molto più sicuro, digitare manualmente l’indirizzo o recuperarlo dal segnalibri personale.
Su iPhone e iOS 15 (o iOS 16) sono attese ancora tre importanti funzioni: ne abbiamo parlato in questo articolo. I lettori possono trovare tutte le novità di iOS 15 in questo articolo di macitynet.
