Ondrej Holzman Deși noile funcții introduse în OS X Yosemite și iOS 8 aduc o mulțime de funcții utile utilizatorilor care simplifică utilizarea mai multor dispozitive, ele pot reprezenta și o amenințare pentru securitate. De exemplu, redirecționarea mesajelor text de la un iPhone la un Mac ocolește foarte ușor verificarea în doi pași atunci când vă conectați la diferite servicii.
Setul de funcții Continuity, în cadrul căruia Apple conectează computerele cu dispozitive mobile în cele mai noi sisteme de operare, este foarte interesant, mai ales în ceea ce privește rețelele și tehnicile pe care le folosesc pentru a conecta iPhone-urile și iPad-urile la Mac-uri. Continuitatea include posibilitatea de a efectua apeluri de pe un Mac, de a trimite fișiere prin AirDrop sau de a crea rapid un hotspot, dar acum ne vom concentra pe redirecționarea SMS-urilor obișnuite către computere.
Această funcție relativ discretă, dar foarte utilă, se poate transforma, în cel mai rău caz, într-o gaură de securitate care permite unui atacator să obțină date pentru a doua fază de verificare atunci când se conectează la serviciile selectate. Vorbim aici despre așa-numita autentificare în două faze, care, pe lângă bănci, este deja introdusă de multe servicii de internet și este mult mai sigură decât dacă ai un cont protejat doar de o parolă clasică și unică.
Verificarea în două faze poate avea loc în moduri diferite, dar atunci când vorbim despre servicii bancare online și alte servicii de internet, cel mai adesea întâlnim trimiterea unui cod de verificare la numărul dvs. de telefon, pe care apoi trebuie să îl introduceți lângă introducerea parolei obișnuite. Prin urmare, dacă cineva vă pune mâna pe parola (sau computerul, inclusiv parola sau certificatul), de obicei va avea nevoie de telefonul dvs. mobil, de exemplu, pentru a se conecta la internet banking, unde va ajunge un SMS cu parola pentru a doua fază de verificare. .
Dar în momentul în care ai redirecționat toate mesajele text de pe iPhone către Mac și un atacator preia Mac-ul tău, nu mai are nevoie de iPhone. Pentru a redirecționa mesajele SMS clasice, nu este necesară nicio conexiune directă între iPhone și Mac - nu trebuie să fie în aceeași rețea Wi-Fi, Wi-Fi nici măcar nu trebuie să fie pornit, la fel ca Bluetooth, și tot ceea ce este necesar este să conectați ambele dispozitive la internet. Serviciul SMS Relay, așa cum este denumit oficial redirecționarea mesajelor, comunică prin protocolul iMessage.
În practică, modul în care funcționează este că, deși mesajul ajunge la tine ca un SMS obișnuit, Apple îl prelucrează ca iMessage și îl transferă pe Internet pe Mac (așa a funcționat cu iMessage înainte de apariția SMS Relay) , unde îl afișează ca SMS, care este indicat de un balon verde . iPhone și Mac pot fi fiecare într-un oraș diferit, doar ambele dispozitive au nevoie de o conexiune la internet.
De asemenea, puteți obține dovada că SMS Relay nu funcționează prin Wi-Fi sau Bluetooth în următorul mod: activați modul avion pe iPhone și scrieți și trimiteți un SMS pe un Mac conectat la Internet. Apoi deconectați Mac-ul de la Internet și, invers, conectați iPhone-ul la el (internetul mobil este suficient). SMS-ul este trimis chiar dacă cele două dispozitive nu au comunicat niciodată direct între ele - totul este asigurat de protocolul iMessage.
Astfel, atunci când utilizați redirecționarea mesajelor, este necesar să aveți în vedere că securitatea autentificării cu doi factori este compromisă. În cazul în care computerul este furat, dezactivarea imediată a mesajelor este cea mai rapidă și mai ușoară modalitate de a preveni potențiala piratare a conturilor dvs.
Intrarea în Internet banking este mai convenabilă dacă nu trebuie să rescrieți codul de verificare de pe afișajul telefonului, ci doar să îl copiați din Messages pe Mac, dar securitatea este mult mai importantă în acest caz, care lipsește mult din cauza SMS Relay . O soluție la această problemă ar putea fi, de exemplu, posibilitatea de a exclude anumite numere de la redirecționare pe Mac, deoarece codurile SMS provin de obicei de la aceleași numere.
După cum sa menționat în ultimul paragraf - capacitatea de a copia codul este mult mai convenabilă și mai bună.
În plus – dacă cineva îmi fură MacBook-ul, primul lucru pe care îl fac este să îl blochez și să opresc toate „redirecționările” și Continuity pe iPhone – de aceea există și această opțiune în Setări/Mesaje. :)
Și dacă cineva ți-l agăță, îl oprești și tu?
Și de ce aveți autorizare în doi pași când puteți bloca dispozitivul furat imediat, nu?
Verificarea în doi pași este un serviciu terță parte, așa că cu greu pot să nu-l folosesc sau să-l ignor, cel puțin în cazul băncilor. Și îmi blochez sau șterg Mac-ul prin Găsește-mi Mac-ul. Beneficiile redirecționării SMS-urilor depășesc dacă nu văd diavolul din spatele tuturor.
Nimănui nu-i pasă de furt, criptarea completă a discului rezolvă asta. Dar ce ai de gând să faci cu un computer spart? Probabil nimic, nu vei ști despre asta.
Ei bine, bineînțeles, avantajele prevalează, nimeni nu vede diavolul și utilizatorul schimbă întotdeauna securitatea cu un porc dansator.
Apropo, ai impresia că băncile te obligă să trimiți SMS-uri doar pentru distracție?
dacă cineva este îngrijorat, nu-l folosi. Sunt extrem de multumit de el
Iar cei care nu au preocupări în combinație cu 2FA nici nu îl folosesc, pentru că evident că nu știu ce fac.
Și cum exclud un anumit număr de pe Macbook și îl las pe iPhone? Multumesc pentru raspuns
AFAIK cea mai bună opțiune este „dezactivați redirecționarea mesajelor text sub Mesaje din Setări (de pe iPhone).”
Dacă nu mă înșel, nu se poate pune pe lista albă ceea ce ar trebui redirecționat, nici pe lista neagră ce nu.
Ei bine, nu este mai ușor să furi un telefon mobil decât un Mac? Da, poți avea o parolă pentru mobil, dar și pentru MAC. Nu sunt un expert, dar probabil că nu este ușor să ajung la Mac dacă nu știu parola (nu mă refer să citesc datele, ci să mă loghez ca să pornească releul SMS).
De asemenea, nu uitați că vorbim de dublă securitate, unde prima fază este cea principală - introducerea parolei de onoare și dacă nu o aveți scrisă pe MAC sau în vreun document text în interior, atunci există fără acces la bancă (și nu folosești 1111 ca parolă :-))
Deci, furtul unui Mac vă va cauza probabil cel mai mare daune din cauza prețului real al Mac-ului.
2FA nu rezolvă furtul primar de Mac sau IP. Soluția este că atacatorul trebuie să preia controlul asupra Mac-ului și altceva. Mac-ul este suficient pentru el acum. Pentru că anulează toate beneficiile 2FA.
(Sfatul este să vă protejați împotriva variantei „atacatorul pe Mac controlează doar browserul”, care probabil nu este o situație complet controlată.)
Doar că, dacă considerați că Mac este complet sigur (haha), atunci nu trebuie să vă ocupați de 2FA. Și dacă nu, atunci 2FA a încetat să-ți mai aducă acea securitate sporită, precum driv.
Și încă o dată, foarte viu - accesați site-ul web „nicnebezpecneho.cz”, care este periculos din cauza unui set nefericit de circumstanțe. Acest lucru ți se poate întâmpla destul de ușor - nu trebuie să mergi imediat pe site-uri porno, este suficient ca cineva să nu securizeze blogul pe care îl vizitezi și să lase să fie introdus în comentarii javascript neigienizat. Există o exploatare de la distanță pentru browserul dvs. pe pagina respectivă (asta vi se poate întâmpla, nimic foarte neobișnuit). Sau fii prins în ingineria socială...
...după câteva ore mergi să trimiți bani de la bancă (te logezi la gmail, github...). Făcând acest lucru, introduceți datele de conectare în computerul deja compromis (sau nici măcar nu trebuie să faceți asta dacă aveți aceste parole salvate) și copiați și lipiți codul din SMS o dată.
..iar noaptea computerul se conectează singur la bancă (gmail...), parola a fost deja salvată de cineva cu malware. Nu veți primi un SMS de confirmare pe telefonul mobil, dar... în acel computer compromis.
2FA a rezolvat exact aceste scenarii. Până când Apple a rupt-o.
Am crezut că 2FA înseamnă că trebuie să mă dovedesc prin 2 lucruri, de exemplu:
- parola
– cu un telefon care acceptă SMS-uri
Ei bine, redirecționarea SMS-urilor către Mac către telefon adaugă și Mac-ul (sau mai multe Mac și iPad pe care le-am asociat) ca alternativă, dar este totuși 2FA. Sau nu?
Încă o dată - în circumstanțe normale, 2FA rezolvă situații precum „Mac-ul meu este piratat și nu știu despre asta”. Pentru că atunci puteți presupune că Mac-ul vă cunoaște parola pentru serviciu (că o aveți deja salvată sau că o veți asculta data viitoare când vă conectați la serviciu). Și acum vă puteți aștepta ca el să cunoască și SMS-urile (sau îl poate cere oricând și îl va primi).
Majoritatea serviciilor care oferă autentificare în doi factori (Facebook, Dropbox, Google, Microsoft, …) permit generarea de parole unice folosind o aplicație (eu folosesc Google Authenticator). Aplicația generează în mod constant coduri limitate în timp pentru serviciile înregistrate. Codul poate fi copiat imediat și folosit pentru a vă conecta. Nu trebuie să așteptați să sosească SMS-urile și, dacă sunt redirecționate către Mac, rezolvați problema descrisă în articol.
Mac-urile compromise au mesaje SMS când se conectează...
Simțiți-vă liber să cereți asta. Dacă am activat verificarea în două faze cu generarea unui cod unic folosind aplicația, atunci serviciul dat nu trimite niciun SMS.
Dacă ceva nu s-a schimbat, o mulțime de servicii au dorit telefonul și au lăsat SMS-ul ca opțiune implicită. Deci computerul tău spart s-a întors.
Cu un număr mare de bănci, nu ai de ales, doar un SMS și atât.
Nu înțeleg asta foarte clar. Dacă cineva îmi fură Mac-ul, opresc SMS-urile, șterg de la distanță Mac-ul și schimb parola la bancă. Sau care este captura?
Ai face asta înainte de a citi acest articol?
Absolut, absolut automat.
Dar autentificarea în două faze se referă la faptul că atacatorul are nevoie de două confirmări: PAROLA ȘI SMS-urile. Aceasta înseamnă că, dacă mi-e teamă că cineva îmi va lua Mac-ul asociat, nu stochez parola acolo, iar dacă cineva îmi sparge browserul, nu va intra în iMessage.
De unde ai asigurarea că nu va ieși din browser? Conform rezultatelor actuale ale Pwn4Fun și Pwn2Own, se pare că există cel puțin două zile zero pentru Safari:
„La Pwn4Fun, Google a făcut un exploit foarte impresionant împotriva Apple Safari lansând Calculator ca root pe Mac OS X”
„De Liang Chen de la Keen Team:
Împotriva Apple Safari, o supraîncărcare a mormanului împreună cu o ocolire a sandbox-ului, ducând la executarea codului.”
Litere subțiri albe pe un fundal verde - nici măcar un elev al unei școli speciale nu ar fi putut sugera mai bine...
Una dintre modalitățile de a opri acest lucru este să înlocuiți generarea de cod prin intermediul unui dongle (de exemplu, acesta: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) este sigur și permite o securitate mai mare, KB trebuie, de asemenea, să facă ceva similar - un certificat încărcat pe un disc USB, fără de care o persoană nu se poate conecta la Internet banking, plus uneori o parolă unică este trimisă la telefon etc. ... Există multe posibilități, dar fiecare are propriile sale ea trebuie să decidă dacă securitatea este importantă pentru ea (dacă are sau nu parolă? etc.)
Unicredit are un lucru grozav. Cheia inteligentă nu este niciodată un SMS clasic, dar generez o parolă unică în aplicația mobilă.
Am nevoie de sfaturi de ce dintr-o dată nu pot trimite un videoclip scurt mm, ceea ce a fost posibil până acum? Nu există nicio opțiune de a introduce pur și simplu un videoclip, acesta nu răspunde, nu îl introduce în mesaj
mulțumesc