Por vezes são pequenas alterações que não revelam de imediato as alterações profundas que estão a acontecer. Um desses casos deu-se agora com a Apple a alterar o comportamento do preenchimento automático de dois fatores (2FA) ao receber códigos SMS. Esta alteração quer garantir que esta técnica só funciona em sites e serviços fidedignos.
O preenchimento automático dos códigos enviados por SMS são uma enorme ajuda na utilização dos serviços quer em aplicações, quer na web, via browser, mas é preciso ter sempre cuidado.
Esteja atento à alteração que a Apple está a implementar nos SMS
Se já tiver (e deve ter sempre) a autenticação de dois fatores ativada na sua conta da Apple, provavelmente está familiarizado com os códigos que recebe por mensagem SMS. Estes códigos permitem que o utilizador faça login no seu Apple ID e, se estiver num iPhone, iPad ou Mac, este código será inserido automaticamente ou aparecerá na barra QuickType.
Agora, a Apple mudou as próprias mensagens SMS para garantir que o preenchimento automático funciona apenas em sites reais.
Apesar de ser uma alteração "ligeira", a medida impede as tentativas de phishing com sites que se parecem com os da Apple. Agora a Apple insere um identificador à própria mensagem.
Basicamente a Apple fez o seguinte:
Antes mostrava:
O seu código Apple IS é 123456. Não o partilhe com ninguém.
Em novembro de 2021, a Apple referiu que os códigos iriam aparecer neste formato:
O seu código Apple ID é: 123456. Não o partilhe com ninguém. @apple.com #123456 %apple.com
Qual é a finalidade?
Isso significa que qualquer endereço de site que não esteja no corpo do SMS não funcionará com o preenchimento automático. Nesse caso, é o site da Apple, mas outros também podem aproveitar a mesma alteração para os seus próprios sites e serviços. Isto é, poderá ser estendido a muitos outros serviços.
Embora nada disso seja infalível e as pessoas ainda possam inserir o código manualmente e serem enganadas desta maneira, é já um começo. Idealmente, ninguém deverá usar a autenticação de dois fatores baseada em SMS como primeira opção, mas se o fizer, pelo menos é melhor que não ter nada.
Fonte: Pplware.