Ондрей Холцман Въпреки че новите функции, въведени в OS X Yosemite и iOS 8, носят много полезни функции за потребителите, които опростяват използването на множество устройства, те също могат да представляват заплаха за сигурността. Например препращането на текстови съобщения от iPhone към Mac много лесно заобикаля потвърждаването в две стъпки при влизане в различни услуги.
Наборът от функции за непрекъснатост, в рамките на който Apple свързва компютри с мобилни устройства в най-новите операционни системи, е много интересен, особено по отношение на мрежите и техниките, които използват за свързване на iPhone и iPad към Mac. Непрекъснатостта включва възможност за извършване на обаждания от Mac, изпращане на файлове чрез AirDrop или бързо създаване на гореща точка, но сега ще се съсредоточим върху препращането на обикновени SMS до компютри.
Тази сравнително незабележима, но много полезна функция може в най-лошия случай да се превърне в дупка в сигурността, която позволява на атакуващия да получи данни за втората фаза на проверка, когато влезе в избрани услуги. Тук говорим за така наречения двуфазен вход, който освен в банките вече се въвежда и от много интернет услуги и е много по-сигурен, отколкото ако имате акаунт, защитен само с класическа и единична парола.
Двуфазната верификация може да се осъществи по различни начини, но когато говорим за онлайн банкиране и други интернет услуги, най-често се сблъскваме с изпращане на код за потвърждение на вашия телефонен номер, който след това трябва да въведете до редовната си парола. Следователно, ако някой се докопа до вашата парола (или компютър, включително парола или сертификат), обикновено ще му трябва мобилният ви телефон, например, за да влезе в интернет банкирането, където ще пристигне SMS с паролата за втората фаза на проверка .
Но в момента, в който всичките ви текстови съобщения бъдат препратени от вашия iPhone към вашия Mac и нападател превземе вашия Mac, те вече нямат нужда от вашия iPhone. За да препращате класически SMS съобщения, не е необходима директна връзка между iPhone и Mac - не е необходимо те да са в една и съща Wi-Fi мрежа, Wi-Fi дори не трябва да е включен, точно както Bluetooth, и всичко, което е необходимо, е да свържете двете устройства към интернет. Услугата SMS Relay, както официално се нарича препращането на съобщения, комуникира чрез протокола iMessage.
На практика, начинът, по който работи, е, че въпреки че съобщението пристига при вас като обикновен SMS, Apple го обработва като iMessage и го прехвърля през интернет към Mac (по този начин работеше с iMessage преди появата на SMS Relay) , където го показва като SMS, което е обозначено със зелено балонче. Всеки от iPhone и Mac може да бъде в различен град, само и двете устройства се нуждаят от интернет връзка.
Можете също така да получите доказателство, че SMS Relay не работи през Wi-Fi или Bluetooth по следния начин: активирайте самолетен режим на вашия iPhone и напишете и изпратете SMS на Mac, свързан към интернет. След това изключете Mac от интернет и, обратно, свържете iPhone към него (мобилен интернет е достатъчен). SMS се изпраща, въпреки че двете устройства никога не са комуникирали директно помежду си - всичко се осигурява от протокола iMessage.
По този начин, когато използвате препращане на съобщения, е необходимо да имате предвид, че сигурността на двуфакторното удостоверяване е компрометирана. В случай, че компютърът ви бъде откраднат, незабавното деактивиране на съобщенията е най-бързият и лесен начин да предотвратите потенциално хакване на вашите акаунти.
Влизането в интернет банкирането е по-удобно, ако не се налага да пренаписвате верификационния код от дисплея на телефона, а просто да го копирате от Messages на Mac, но сигурността е много по-важна в този случай, която силно липсва поради SMS Relay . Решение на този проблем може да бъде например възможността за изключване на конкретни номера от пренасочване на Mac, тъй като SMS кодовете обикновено идват от едни и същи номера.
Както споменахме в последния параграф - възможността за копиране на кода е много по-удобна и по-добра.
Освен това - ако някой ми открадне MacBook, първото нещо, което правя, е да го блокирам и да изключа всички "forwarding" и Continuity на iPhone - затова има и тази опция в Settings / Messages. :)
И ако някой ти го закачи, спираш ли и него?
И защо да имате двустепенна авторизация, когато можете да блокирате откраднатото устройство веднага, а?
Двустепенната проверка е услуга на трета страна, така че едва ли мога да не я използвам или да я игнорирам, поне в случая с банките. И блокирам или изтривам своя Mac чрез Find my Mac. Ползите от препращането на SMS надхвърлят, ако не виждам дявола зад всичко.
Никой не се интересува от кражба, пълното криптиране на диска решава това. Но какво ще правите с хакнат компютър? Вероятно нищо, няма да знаете за това.
Е, разбира се, предимствата преобладават, никой не вижда дявола и потребителят винаги разменя сигурността за танцуващо прасе.
Между другото, имате ли впечатлението, че банките ви принуждават да изпращате SMS просто за забавление?
ако някой се притеснява, не го използва. Изключително съм доволен от него
А тези, които нямат притеснения в комбинация с 2FA дори не го ползват, защото явно не знаят какво правят.
И как да изключа определен номер на Macbook и да го оставя на iPhone? Благодаря за отговора
AFAIK най-добрият вариант е „изключете препращането на текстови съобщения под Съобщения в Настройки (от вашия iPhone).“
Ако не греша, не е възможно да поставите в белия списък това, което трябва да бъде препратено, нито да поставите в черния списък това, което не трябва.
Е, не е ли по-лесно да откраднеш мобилен телефон, отколкото Mac? Да, можете да имате парола за мобилен телефон, но също и за MAC. Не съм експерт, но вероятно не е лесно да стигна до Mac, ако не знам паролата (нямам предвид да прочета данните, а да вляза, така че SMS релето да започне).
Освен това не забравяйте, че говорим за двойна сигурност, където първата фаза е основната - въвеждане на паролата за зачитане и ако я нямате написана на MAC или в някакъв текстов документ вътре, тогава има няма достъп до банката (и не използвате 1111 като парола :-))
Така че кражбата на Mac вероятно ще ви причини най-големи щети поради истинската цена на Mac.
2FA не решава първичната кражба на Mac или IP. Решението е, че нападателят трябва да получи контрол над Mac и нещо друго. Сега Mac му е достатъчен. Coz отрича всички предимства на 2FA.
(Съветът е да се защитите от варианта „нападателят на Mac контролира само браузъра“, което вероятно не е напълно контролирана ситуация.)
Просто ако смятате Mac за напълно безопасен (хаха), тогава не е нужно да се справяте с 2FA. И ако не, тогава 2FA спря да ви предоставя тази повишена сигурност, като driv.
И още веднъж, много ярко - отивате на уебсайта "nicnebezpecneho.cz", който е опасен поради злощастно стечение на обстоятелствата. Това може да ви се случи доста лесно - не е нужно веднага да влизате в порно сайтове, достатъчно е някой да не защити блога, който посещавате, и да остави недезинфекциран javascript да бъде вмъкнат в коментарите. На тази страница има отдалечен експлойт за вашия браузър (това все още може да ви се случи, нищо необичайно). Или да се увлечете в социалното инженерство...
...след няколко часа отивате да пратите пари от банката (влизате в gmail, github...). По този начин въвеждате данните за вход във вече компрометирания компютър (или дори не е нужно да правите това, ако сте запазили тези пароли) и копирате и поставяте кода от SMS еднократно.
..и през нощта компютърът ви влиза в банката (gmail...) сам, паролата вече е запазена от някой със зловреден софтуер. Няма да получите SMS за потвърждение на мобилния си телефон, но... в този компрометиран компютър.
2FA реши точно тези сценарии. Докато Apple не го счупи.
Мислех, че 2FA означава, че трябва да се докажа с 2 неща, например:
– парола
– с телефон, който приема SMS
Е, препращането на SMS до Mac към телефона също добавя Mac (или повече Mac и iPad, които съм сдвоил) като алтернатива, но все още е 2FA. Или не?
Още веднъж – при нормални обстоятелства 2FA разрешава ситуации като „моят Mac е хакнат и аз не знам за това“. Защото тогава можете да приемете, че Mac знае вашата парола за услугата (че вече сте я запазили или ще я чуете следващия път, когато влезете в услугата). И сега можете да очаквате, че той също ще знае SMS (или може да го поиска по всяко време и ще го получи).
Повечето услуги, които предлагат двуфакторно удостоверяване (Facebook, Dropbox, Google, Microsoft, …) позволяват генерирането на еднократни пароли с помощта на приложение (аз използвам Google Authenticator). Приложението постоянно генерира ограничени във времето кодове за регистрирани услуги. Кодът може да се копира веднага и да се използва за влизане. Не е нужно да чакате SMS-ите да пристигнат и, ако бъдат препратени към Mac, решете проблема, описан в статията.
Компрометираните Mac имат SMS съобщения при влизане...
Чувствайте се свободни да поискате това. Ако съм включил двуфазна верификация с генериране на еднократен код чрез приложението, тогава дадената услуга не изпраща SMS.
Ако нещо не се е променило, много услуги искаха телефона и оставиха SMS като опция по подразбиране. Така че вашият хакнат компютър се върна.
При голям брой банки няма избор, само един смс и това е.
Не разбирам това много ясно. Ако някой ми открадне Mac, изключвам SMS, дистанционно изтривам Mac и променям паролата в банката. Или каква е уловката?
Бихте ли го направили, преди да прочетете тази статия?
Абсолютно, абсолютно автоматично.
Но двуфазното удостоверяване се отнася до факта, че нападателят се нуждае от две потвърждения: ПАРОЛА И SMS. Това означава, че ако се страхувам, че някой ще вземе моя сдвоен Mac, аз не съхранявам паролата там и ако някой хакне браузъра ми, той няма да влезе в iMessage.
Откъде имаш гаранцията, че няма да излезе от браузъра ти? Според текущите резултати на Pwn4Fun и Pwn2Own, изглежда, че има поне два нулеви дни за Safari:
„На Pwn4Fun Google представи много впечатляващ експлойт срещу Apple Safari, стартирайки Calculator като root на Mac OS X“
„От Liang Chen от Keen Team:
Срещу Apple Safari, препълване на купчина заедно с байпас на пясъчника, което води до изпълнение на код."
Тънки бели букви на зелен фон - дори ученик от специално училище не би могъл да го предложи по-добре...
Един от начините да спрете това е да замените генерирането на код чрез ключ (например това: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) безопасно е и позволява по-висока сигурност, KB също трябва да направи нещо подобно - сертификат, качен на USB диск, без който човек не може да се свърже с интернет банкиране, плюс понякога се изпраща еднократна парола на телефона и т.н. ... Има много възможности, но всеки има своя собствена, тя трябва да реши дали сигурността е важна за нея (дали има парола или не? и т.н.)
Уникредит има страхотно нещо. Смарт ключът никога не е класически SMS, а генерирам еднократна парола в мобилното приложение.
Имам нужда от съвет защо изведнъж не мога да изпратя mm кратко видео, което беше възможно до сега? Няма опция просто да вкараш видео, не отговаря, не го вкарва в съобщението
Благодаря