Ondrej Holzman Selv om de nye funksjonene introdusert i OS X Yosemite og iOS 8 gir brukere mange nyttige funksjoner som forenkler bruken av flere enheter, kan de også utgjøre en sikkerhetstrussel. For eksempel, videresending av tekstmeldinger fra en iPhone til en Mac omgår veldig enkelt to-trinns bekreftelse når du logger på ulike tjenester.
Settet med kontinuitetsfunksjoner, der Apple kobler datamaskiner med mobile enheter i de nyeste operativsystemene, er veldig interessant, spesielt med tanke på nettverkene og teknikkene de bruker for å koble iPhone og iPad til Mac. Kontinuitet inkluderer muligheten til å ringe fra en Mac, sende filer via AirDrop eller raskt opprette en hotspot, men nå vil vi fokusere på å videresende vanlige SMS til datamaskiner.
Denne relativt lite iøynefallende, men svært nyttige funksjonen kan i verste fall bli til et sikkerhetshull som gjør at en angriper kan innhente data til den andre verifiseringsfasen ved innlogging på utvalgte tjenester. Vi snakker her om den såkalte tofase-påloggingen, som i tillegg til banker allerede introduseres av mange internettjenester og er mye sikrere enn om du har en konto som kun er beskyttet av et klassisk og enkelt passord.
Tofaseverifisering kan foregå på ulike måter, men når vi snakker om nettbank og andre internettjenester, møter vi oftest å sende en bekreftelseskode til telefonnummeret ditt, som du så må taste inn ved siden av det vanlige passordet ditt. Derfor, hvis noen får tak i passordet ditt (eller datamaskinen inkludert passord eller sertifikat), vil de vanligvis trenge mobiltelefonen din, for eksempel for å logge på nettbank, hvor en SMS med passordet for andre fase av bekreftelse kommer .
Men i det øyeblikket du har alle tekstmeldingene dine videresendt fra iPhone til Mac og en angriper tar over Macen din, trenger de ikke lenger iPhone. For å videresende klassiske SMS-meldinger er det ikke nødvendig med noen direkte tilkobling mellom iPhone og Mac - de trenger ikke være på samme Wi-Fi-nettverk, Wi-Fi trenger ikke engang være slått på, akkurat som Bluetooth, og alt som trengs er å koble begge enhetene til internett. SMS Relay-tjenesten, som videresending av meldinger offisielt kalles, kommuniserer via iMessage-protokollen.
I praksis fungerer det slik at selv om meldingen kommer til deg som en vanlig SMS, behandler Apple den som en iMessage og overfører den over Internett til Mac-en (slik fungerte det med iMessage før SMS Relay kom) , hvor den viser den som en SMS, som indikeres med en grønn boble . iPhone og Mac kan være i hver sin by, bare begge enhetene trenger en Internett-tilkobling.
Du kan også få bevis på at SMS Relay ikke fungerer over Wi-Fi eller Bluetooth på følgende måte: aktiver flymodus på din iPhone og skriv og send en SMS på en Mac koblet til Internett. Koble deretter Mac-en fra Internett og omvendt koble iPhone-en til den (mobilt internett er nok). SMS-en sendes selv om de to enhetene aldri har kommunisert direkte med hverandre – alt er sikret av iMessage-protokollen.
Når du bruker videresending av meldinger, er det derfor nødvendig å huske på at sikkerheten til tofaktorautentisering er kompromittert. I tilfelle datamaskinen din blir stjålet, er deaktivering av meldinger umiddelbart den raskeste og enkleste måten å forhindre potensiell hacking av kontoene dine.
Å gå inn i nettbank er mer praktisk hvis du ikke trenger å skrive om bekreftelseskoden fra telefonens display, men bare kopiere den fra Meldinger på Mac-en, men sikkerheten er mye viktigere i dette tilfellet, som mangler i stor grad på grunn av SMS Relay . En løsning på dette problemet kan for eksempel være muligheten til å ekskludere bestemte numre fra videresending på Mac, siden SMS-kodene vanligvis kommer fra de samme numrene.
Som nevnt i siste avsnitt - muligheten til å kopiere koden er mye mer praktisk og bedre.
I tillegg – hvis noen stjeler MacBook-en min, er det første jeg gjør å blokkere den og slå av all «videresending» og kontinuitet på iPhone – derfor er det også dette alternativet i Innstillinger / Meldinger. :)
Og hvis noen hekter det til deg, stopper du det også?
Og hvorfor ha to-trinns autorisasjon når du kan blokkere den stjålne enheten med en gang, ikke sant?
To-trinns bekreftelse er en tredjepartstjeneste, så jeg kan nesten ikke bruke den eller ignorere den, i hvert fall når det gjelder banker. Og jeg blokkerer eller sletter Macen min via Finn min Mac. Fordelene med videresending av SMS veier opp hvis jeg ikke ser djevelen bak alt.
Ingen bryr seg om tyveri, full diskkryptering løser det. Men hva skal du med en hacket datamaskin? Sannsynligvis ingenting, du vil ikke vite om det.
Vel, selvfølgelig, fordelene seier, ingen ser djevelen og brukeren bytter alltid sikkerhet for en dansende gris.
Har du forresten inntrykk av at bankene tvinger deg til å sende SMS bare for moro skyld?
hvis noen er bekymret så ikke bruk den. Jeg er ekstremt fornøyd med det
Og de som ikke har bekymringer i kombinasjon med 2FA bruker det ikke engang, fordi de åpenbart ikke vet hva de gjør.
Og hvordan ekskluderer jeg et spesifikt nummer på Macbook og lar det være på iPhone? Takk for tilbakemeldingen
AFAIK det beste alternativet er "slå av videresending av tekstmeldinger under Meldinger i Innstillinger (fra din iPhone)."
Hvis jeg ikke tar feil, er det ikke mulig å hviteliste det som skal videresendes, og heller ikke svarteliste det som ikke.
Vel, er det ikke lettere å stjele en mobiltelefon enn en Mac? Ja, du kan ha passord for mobil, men også for MAC. Jeg er ingen ekspert, men det er nok ikke lett å komme til Mac-en hvis jeg ikke kan passordet (jeg mener ikke å lese dataene, men å logge inn slik at SMS-reléet starter).
Ikke glem at vi snakker om dobbel sikkerhet, der den første fasen er den viktigste - å skrive inn passordet for å respektere og hvis du ikke har det skrevet på MAC-en eller i et tekstdokument inni, så er det ingen tilgang til banken (og du bruker ikke 1111 som passord :-))
Så, å stjele en Mac vil sannsynligvis forårsake den største skaden på grunn av den sanne prisen på Macen.
2FA løser ikke primært Mac- eller IP-tyveri. Løsningen er at angriperen må få kontroll over Mac-en og noe annet. Macen er nok for ham nå. Coz opphever alle fordelene med 2FA.
(Rådet er å beskytte mot varianten "angriperen på Mac kontrollerer kun nettleseren", som sannsynligvis ikke er en fullstendig kontrollert situasjon.)
Det er bare det at hvis du anser Mac for å være helt trygg (haha), så trenger du ikke å forholde deg til 2FA. Og hvis ikke, sluttet 2FA å gi deg den økte sikkerheten, som kjøring.
Og en gang til, veldig levende - du går til nettstedet "nicnebezpecneho.cz", som er farlig på grunn av et uheldig sett av omstendigheter. Dette kan skje deg ganske enkelt - du trenger ikke gå til pornosider med en gang, det er nok for noen å ikke sikre bloggen du besøker og la usanifisert javascript legges inn i kommentarene. Det er en ekstern utnyttelse for nettleseren din på den siden (dette kan fortsatt skje med deg, ingenting veldig uvanlig). Eller bli fanget opp i sosial ingeniørkunst...
...etter noen timer går du for å sende penger fra banken (du logger deg på gmail, github...). Når du gjør det, legger du inn påloggingsdataene til den allerede kompromitterte datamaskinen (eller du trenger ikke engang å gjøre det hvis du har disse passordene lagret) og kopierer og limer inn koden fra SMS-en én gang.
..og om natten logger datamaskinen din på banken (gmail...) av seg selv, passordet er allerede lagret av noen med skadelig programvare. Du vil ikke motta en bekreftelses-SMS på din mobiltelefon, men... inn i den kompromitterte datamaskinen.
2FA løste akkurat disse scenariene. Helt til Apple brøt den.
Jeg tenkte at 2FA betyr at jeg må bevise meg selv med 2 ting, for eksempel:
- passord
– med en telefon som godtar SMS
Vel, videresending av SMS til Mac til telefonen legger også til Mac (eller flere Mac og iPad som jeg har paret) som et alternativ, men det er fortsatt 2FA. Eller ikke?
Nok en gang - under normale omstendigheter løser 2FA situasjoner som "min Mac er hacket og jeg vet ikke om det". For da kan du anta at Mac-en kjenner passordet ditt til tjenesten (at du allerede har det lagret eller vil høre på det neste gang du logger på tjenesten). Og nå kan du forvente at han også vil vite SMS (eller han kan be om det når som helst og han vil motta det).
De fleste tjenester som tilbyr tofaktorautentisering (Facebook, Dropbox, Google, Microsoft, …) lar engangspassord genereres ved hjelp av en app (jeg bruker Google Authenticator). Applikasjonen genererer hele tiden tidsbegrensede koder for registrerte tjenester. Koden kan kopieres umiddelbart og brukes til å logge inn. Du trenger ikke å vente på at SMS-en kommer, og hvis de videresendes til Mac-en, løser du problemet beskrevet i artikkelen.
Kompromitterte Mac-er har SMS-meldinger når du logger på...
Spør gjerne om det. Hvis jeg har slått på tofaseverifisering med generering av en engangskode ved hjelp av applikasjonen, sender ikke den gitte tjenesten noen SMS.
Hvis noe ikke har endret seg, ville mange tjenester ha telefonen og la SMS som standardalternativ. Så din hackede datamaskin er tilbake.
Med et stort antall banker er det ikke noe valg, bare en SMS og det er det.
Jeg forstår ikke dette helt klart. Hvis noen stjeler Mac-en min, slår jeg av SMS, fjernsletter Mac-en og endrer passordet i banken. Eller hva er fangsten?
Ville du gjort det før du leser denne artikkelen?
Helt, helt automatisk.
Men to-fase autentisering handler om at angriperen trenger to bekreftelser: PASSORD OG SMS. Dette betyr at hvis jeg er redd for at noen skal ta min sammenkoblede Mac, lagrer jeg ikke passordet der, og hvis noen hacker nettleseren min, kommer de ikke inn i iMessage.
Hvor får du forsikringen om at den ikke bryter ut av nettleseren din? I følge de nåværende resultatene av Pwn4Fun og Pwn2Own, ser det ut til at det er minst to null dager for Safari:
"På Pwn4Fun leverte Google en veldig imponerende utnyttelse mot Apple Safari som lanserte Calculator som root på Mac OS X"
"Av Liang Chen fra Keen Team:
Mot Apple Safari renner en haug over sammen med en sandkasse-bypass, noe som resulterer i kodekjøring."
Tynne hvite bokstaver på grønn bakgrunn - ikke engang en elev ved en spesialskole kunne ha foreslått det bedre...
En av måtene å stoppe dette på er å erstatte kodegenerering via en dongle (for eksempel denne: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) det er trygt og det muliggjør høyere sikkerhet, KB må også gjøre noe lignende - et sertifikat lastet opp til en USB-disk, uten hvilket en person ikke kan koble til nettbank, pluss noen ganger sendes et engangspassord til telefonen, etc. ... Det er mange muligheter, men alle har sin egen hun må bestemme om sikkerhet er viktig for henne (om hun har passord eller ikke? osv.)
Unicredit har en flott ting. Smartnøkkelen er aldri en klassisk SMS, men jeg genererer et engangspassord i mobilapplikasjonen.
Jeg trenger råd om hvorfor jeg plutselig ikke kan sende en mm kort video, som var mulig til nå? Det er ingen mulighet for å bare sette inn en video, den svarer ikke, den setter den ikke inn i meldingen
takk