Ondrej Holzman Även om de nya funktionerna som introduceras i OS X Yosemite och iOS 8 tillför många användbara funktioner för användare som förenklar användningen av flera enheter, kan de också utgöra ett säkerhetshot. Att vidarebefordra textmeddelanden från en iPhone till en Mac går till exempel mycket enkelt förbi tvåstegsverifiering när du loggar in på olika tjänster.
Uppsättningen av kontinuitetsfunktioner, inom vilka Apple kopplar ihop datorer med mobila enheter i de senaste operativsystemen, är mycket intressant, särskilt när det gäller de nätverk och tekniker de använder för att ansluta iPhone och iPad till Mac. Kontinuitet inkluderar möjligheten att ringa samtal från en Mac, skicka filer via AirDrop eller snabbt skapa en hotspot, men nu kommer vi att fokusera på att vidarebefordra vanliga SMS till datorer.
Denna relativt oansenliga, men mycket användbara funktion kan i värsta fall förvandlas till ett säkerhetshål som gör att en angripare kan hämta data för den andra verifieringsfasen vid inloggning på utvalda tjänster. Vi pratar här om den så kallade tvåfasinloggningen, som, förutom banker, redan implementeras av många internettjänster och är mycket säkrare än om du har ett konto som endast skyddas av ett klassiskt och enda lösenord.
Tvåfasverifiering kan ske på olika sätt, men när vi pratar om nätbank och andra internettjänster stöter vi oftast på att skicka en verifieringskod till ditt telefonnummer, som du sedan måste ange bredvid ditt vanliga lösenord. Därför, om någon får tag i ditt lösenord (eller dator inklusive lösenord eller certifikat), behöver de vanligtvis din mobiltelefon, till exempel för att logga in på internetbank, där ett SMS med lösenordet för den andra fasen av verifieringen kommer .
Men i det ögonblick du har alla dina textmeddelanden vidarebefordrade från din iPhone till din Mac och en angripare tar över din Mac, behöver de inte längre din iPhone. För att vidarebefordra klassiska SMS-meddelanden behövs ingen direkt anslutning mellan iPhone och Mac - de behöver inte vara på samma Wi-Fi-nätverk, Wi-Fi behöver inte ens vara påslaget, precis som Bluetooth, och allt som behövs är att ansluta båda enheterna till internet. Tjänsten SMS Relay, som vidarebefordran av meddelanden officiellt kallas, kommunicerar via iMessage-protokollet.
I praktiken fungerar det så att även om meddelandet kommer till dig som ett vanligt SMS, bearbetar Apple det som ett iMessage och överför det över Internet till Mac (så här fungerade det med iMessage innan SMS Relay kom) , där den visar det som ett SMS, vilket indikeras av en grön bubbla . iPhone och Mac kan vara i olika stad, bara båda enheterna behöver en internetanslutning.
Du kan också få bevis på att SMS Relay inte fungerar över Wi-Fi eller Bluetooth på följande sätt: aktivera flygplansläge på din iPhone och skriv och skicka ett SMS på en Mac ansluten till Internet. Koppla sedan bort Mac-datorn från Internet och, omvänt, anslut iPhone till den (mobilt internet räcker). SMS:et skickas trots att de två enheterna aldrig direkt har kommunicerat med varandra – allt säkerställs av iMessage-protokollet.
När du använder vidarebefordran av meddelanden är det därför nödvändigt att komma ihåg att säkerheten för tvåfaktorsautentisering äventyras. I händelse av att din dator blir stulen är det snabbaste och enklaste sättet att inaktivera meddelanden omedelbart för att förhindra eventuell hackning av dina konton.
Att gå in på internetbank är bekvämare om du inte behöver skriva om verifieringskoden från telefonens display, utan bara kopiera den från Meddelanden på Mac, men säkerheten är mycket viktigare i det här fallet, vilket saknas mycket på grund av SMS Relay . En lösning på detta problem kan till exempel vara möjligheten att utesluta specifika nummer från vidarebefordran på Mac, eftersom SMS-koderna oftast kommer från samma nummer.
Som nämnts i sista stycket - möjligheten att kopiera koden är mycket bekvämare och bättre.
Dessutom - om någon stjäl min MacBook är det första jag gör att blockera den och stänga av all "vidarebefordran" och kontinuitet på iPhone - det är därför det även finns det här alternativet i Inställningar / Meddelanden. :)
Och om någon hakar på dig, stoppar du det också?
Och varför ha tvåstegsbehörighet när du kan blockera den stulna enheten direkt, va?
Tvåstegsverifiering är en tredjepartstjänst, så jag kan knappast inte använda den eller ignorera den, åtminstone när det gäller banker. Och jag blockerar eller tar bort min Mac via Hitta min Mac. Fördelarna med sms-vidarebefordran överväger om jag inte ser djävulen bakom allt.
Ingen bryr sig om stöld, full diskkryptering löser det. Men vad ska du göra med en hackad dator? Förmodligen ingenting, du kommer inte att veta om det.
Jo, naturligtvis, fördelarna råder, ingen ser djävulen och användaren byter alltid säkerhet mot en dansande gris.
Har du förresten intrycket av att bankerna tvingar dig att skicka sms bara för skojs skull?
om någon är orolig så använd den inte. Jag är extremt nöjd med den
Och de som inte har bekymmer i kombination med 2FA använder det inte ens, eftersom de uppenbarligen inte vet vad de gör.
Och hur utesluter jag ett specifikt nummer på Macbook och lämnar det på iPhone? Tack för svaret
AFAIK det bästa alternativet är "stäng av vidarebefordran av textmeddelanden under Meddelanden i Inställningar (från din iPhone)."
Om jag inte har fel så går det inte att vitlista det som ska vidarebefordras och inte heller svartlista det som inte.
Tja, är det inte lättare att stjäla en mobiltelefon än en Mac? Ja, du kan ha ett lösenord för mobilen, men även för MAC. Jag är ingen expert, men det är nog inte lätt att komma till Mac om jag inte kan lösenordet (jag menar inte att läsa data, utan att logga in så att SMS-reläet startar).
Glöm inte heller att vi pratar om dubbel säkerhet, där den första fasen är den viktigaste - att ange lösenordet för att hedra och om du inte har det skrivet på MAC eller i något textdokument inuti, så finns det ingen tillgång till banken (och du använder inte 1111 som lösenord :-))
Så att stjäla en Mac kommer förmodligen att orsaka dig den största skadan på grund av det verkliga priset på Macen.
2FA löser inte primär Mac- eller IP-stöld. Lösningen är att angriparen måste få kontroll över Mac och något annat. Macen räcker för honom nu. Coz förnekar alla fördelar med 2FA.
(Rådet är att skydda dig mot varianten "anfallare på Mac styr bara webbläsaren", vilket förmodligen inte är en helt kontrollerad situation.)
Det är bara det att om du anser att Mac är helt säker (haha), så behöver du inte hantera 2FA. Och om inte, slutade 2FA att ge dig den ökade säkerheten, som kör.
Och en gång till, mycket levande - du går till webbplatsen "nicnebezpecneho.cz", som är farlig på grund av en olycklig uppsättning omständigheter. Detta kan hända dig ganska lätt - du behöver inte gå till porrsajter direkt, det räcker för att någon inte säkrar bloggen du besöker och låter osanifierat javascript infogas i kommentarerna. Det finns en fjärrexploatering för din webbläsare på den sidan (detta kan fortfarande hända dig, inget särskilt ovanligt). Eller fastna i social ingenjörskonst...
...efter några timmar går du för att skicka pengar från banken (du loggar in på gmail, github...). När du gör det anger du inloggningsuppgifterna i den redan komprometterade datorn (eller så behöver du inte ens göra det om du har dessa lösenord sparade) och kopierar och klistrar in koden från SMS:et en gång.
..och på natten loggar din dator in på banken (gmail...) av sig själv, lösenordet har redan sparats av någon med skadlig kod. Du kommer inte att få ett bekräftelse-SMS på din mobiltelefon, men... in i den komprometterade datorn.
2FA löste exakt dessa scenarier. Tills Apple bröt den.
Jag trodde att 2FA betyder att jag måste bevisa mig själv med två saker, till exempel:
- Lösenord
– med en telefon som accepterar SMS
Tja, vidarebefordran av SMS till Mac till telefonen lägger också till Mac (eller fler Mac och iPad som jag har parat) som ett alternativ, men det är fortfarande 2FA. Eller inte?
Återigen - under normala omständigheter löser 2FA situationer som "min Mac är hackad och jag vet inte om det". För då kan du anta att Macen känner till ditt lösenord för tjänsten (att du redan har det sparat eller kommer att lyssna på det nästa gång du loggar in på tjänsten). Och nu kan du förvänta dig att han också kommer att veta SMS (eller så kan han be om det när som helst och han kommer att få det).
De flesta tjänster som erbjuder tvåfaktorsautentisering (Facebook, Dropbox, Google, Microsoft, …) tillåter att engångslösenord genereras med hjälp av en app (jag använder Google Authenticator). Applikationen genererar ständigt tidsbegränsade koder för registrerade tjänster. Koden kan kopieras direkt och användas för att logga in. Du behöver inte vänta på att SMS:et ska komma och, om de vidarebefordras till Mac, lös problemet som beskrivs i artikeln.
Kompromissade Mac-datorer har SMS-meddelanden när du loggar in...
Fråga gärna om det. Om jag har aktiverat tvåfasverifiering med generering av en engångskod med applikationen, skickar den givna tjänsten inget SMS.
Om något inte har förändrats, ville många tjänster ha telefonen och lämnade SMS som standardalternativ. Så din hackade dator är tillbaka.
Med ett stort antal banker finns det inget val, bara ett sms och det är allt.
Jag förstår inte detta särskilt tydligt. Om någon stjäl min Mac så stänger jag av SMS, fjärrrensar Macen och byter lösenord på banken. Eller vad är haken?
Skulle du göra det innan du läser den här artikeln?
Absolut, helt automatiskt.
Men tvåfasautentisering handlar om att angriparen behöver två bekräftelser: LÖSENORD OCH SMS. Det betyder att om jag är rädd att någon ska ta min ihopparade Mac så lagrar jag inte lösenordet där, och om någon hackar min webbläsare kommer de inte in i iMessage.
Var får du försäkran om att den inte kommer att gå ur din webbläsare? Enligt de aktuella resultaten av Pwn4Fun och Pwn2Own ser det ut som att det finns minst två nolldagar för Safari:
"På Pwn4Fun levererade Google en mycket imponerande exploatering mot Apple Safaris lansering av Calculator som root på Mac OS X"
"Av Liang Chen från Keen Team:
Mot Apple Safari svämmar ett hög över tillsammans med en förbikoppling av sandlådan, vilket resulterar i kodexekvering."
Tunna vita bokstäver på grön bakgrund - inte ens en elev på en särskola kunde ha föreslagit det bättre...
Ett av sätten att stoppa detta är att ersätta kodgenerering via en dongel (till exempel detta: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) det är säkert och det möjliggör högre säkerhet, KB behöver också göra något liknande - ett certifikat laddat upp till en USB-disk utan vilket en person inte kan ansluta till internetbank, plus ibland skickas ett engångslösenord till telefonen, etc. ... Det finns många möjligheter, men alla har sina egna hon måste avgöra om säkerheten är viktig för henne (om hon har ett lösenord eller inte? etc.)
Unicredit har en fantastisk sak. Smartnyckeln är aldrig ett klassiskt SMS, utan jag genererar ett engångslösenord i mobilapplikationen.
Jag behöver råd om varför jag plötsligt inte kan skicka en mm kort video, vilket var möjligt fram till nu? Det finns inget alternativ att bara infoga en video, den svarar inte, den infogar den inte i meddelandet
Děkuji