Ő a desktop-on lévő totp alkalmazást, mint 2. faktort adó megoldást mondja - ha van másik eszközön outband második faktor, az teljesen más scenario. Szóval nincs mobilos app, nincs sms-es 2. faktor, csak a desktop, böngésző meg a totp.exe, ami a user AppData/vaalmelyik/totp/secrets.akarmi fájlban tárolja a shared secret-eket - jó esetben egy jelszóval védve. (rosszabb esetben se jelszó, se semmi, csak commandline-ban odatolja a bankbabelepeshez.txt fájlt az totp.exe -nek, és az visszaadja az aktuális 2. faktoros kódot... )
Szerencse vagy sem, de -részben pont az egy eszköz kontra két eszköz támadandó miatt- a 2. faktor outband módon érkezik, vagy push, vagy sms (Mondjuk ez utóbbi, hála az Apple mindent egybegyúrunk megoldásának képes a desktop-on is landolni, akár úgy is, hogy a támadó ennek minden nyomát el tudja tüntetni a gépről és a telefonról is - volt ilyen módon kivitelezett sikeres támadás), és azt használja a user.
Ekkor vagy az Apple ökoszisztéma működéséből adódó fenti lehetőséget célozzák, vagy hagyják a logint "normál módon" megtörténni, de úgy, hogy a desktop és a bank közé ékelődnek be - egy "szép" vagy kevésbé szép URL-te kattintásra rávéve a felhasználót.
Az adott esetben viszont, amikor totp alkalmazás van a desktop gépen, a támadás arra irányul(hat), hogy a totp alkalmazás adatbázisát vigye el a támadó, és ha az netán nincs jelszóval védve, vagy gyenge jelszó védi feltörje/felhasználja a benne lévő identitásokhoz úgy, hogy a célszemély e-mail címeihez bárhol használt kiszivárgott jelszavakkal próbálkozik első faktorként. Ha meg a desktop-on keyloggert is tud telepíteni a támadó, vagy még jobb, ha böngésző session-t lop, akkor nyert ügye van. Ehhez _egy_ eszközt kellett kompromittálnia, az a desktop.