Ондрей Хольцман Хоча нові функції, представлені в OS X Yosemite та iOS 8, надають користувачам багато корисних функцій, які спрощують використання кількох пристроїв, вони також можуть становити загрозу безпеці. Наприклад, пересилання текстових повідомлень з iPhone на Mac дуже легко обходить двоетапну перевірку під час входу в різні сервіси.
Набір функцій Continuity, за допомогою яких Apple з’єднує комп’ютери з мобільними пристроями в новітніх операційних системах, дуже цікавий, особливо з точки зору мереж і методів, які вони використовують для підключення iPhone і iPad до Mac. Безперервність включає можливість здійснювати дзвінки з Mac, надсилати файли через AirDrop або швидко створювати точку доступу, але зараз ми зосередимося на пересиланні звичайних SMS на комп’ютери.
Ця відносно непомітна, але дуже корисна функція може в гіршому випадку перетворитися на діру в безпеці, яка дозволить зловмиснику отримати дані для другого етапу перевірки під час входу в обрані служби. Тут ми говоримо про так званий двофазний вхід, який, окрім банків, уже запроваджують багато інтернет-сервісів і є набагато безпечнішим, ніж якщо у вас є обліковий запис, захищений лише класичним і єдиним паролем.
Двофазова перевірка може відбуватися різними способами, але коли ми говоримо про онлайн-банкінг та інші інтернет-сервіси, ми найчастіше стикаємося з надсиланням коду підтвердження на ваш номер телефону, який потім потрібно ввести поруч із введенням звичайного пароля. Тому, якщо хтось заволодіє вашим паролем (або комп’ютером із паролем чи сертифікатом), зазвичай йому знадобиться ваш мобільний телефон, наприклад, для входу в інтернет-банкінг, куди прийде SMS із паролем для другого етапу перевірки. .
Але в той момент, коли всі ваші текстові повідомлення пересилаються з вашого iPhone на ваш Mac і зловмисник захоплює ваш Mac, їм більше не потрібен ваш iPhone. Щоб пересилати класичні SMS-повідомлення, не потрібне пряме з’єднання між iPhone і Mac – вони не повинні бути в одній мережі Wi-Fi, Wi-Fi навіть не потрібно вмикати, як і Bluetooth, і все, що потрібно, це підключити обидва пристрої до Інтернету. Сервіс SMS Relay, як офіційно називається пересилання повідомлень, спілкується через протокол iMessage.
На практиці це працює так: хоча повідомлення надходить до вас як звичайне SMS, Apple обробляє його як iMessage і передає через Інтернет на Mac (так це працювало з iMessage до появи SMS Relay) , де відображається як SMS, що позначається зеленою підказкою . iPhone і Mac можуть перебувати в різних містах, тільки обидва пристрої потребують підключення до Інтернету.
Ви також можете отримати доказ того, що SMS Relay не працює через Wi-Fi або Bluetooth, у такий спосіб: увімкніть режим польоту на своєму iPhone та напишіть і надішліть SMS на Mac, підключеному до Інтернету. Потім відключіть Mac від інтернету і, навпаки, підключіть до нього iPhone (досить мобільного інтернету). SMS надсилається, незважаючи на те, що два пристрої ніколи не спілкувалися один з одним безпосередньо - все забезпечується протоколом iMessage.
Таким чином, при використанні пересилання повідомлень необхідно мати на увазі, що безпека двофакторної аутентифікації скомпрометована. У разі викрадення комп’ютера негайне вимкнення обміну повідомленнями є найшвидшим і найпростішим способом запобігти можливому злому ваших облікових записів.
Зайти в інтернет-банкінг зручніше, якщо вам не потрібно переписувати код підтвердження з дисплея телефону, а просто скопіювати його з Повідомлень на Mac, але в цьому випадку набагато важливіша безпека, якої дуже не вистачає через SMS Relay . Вирішенням цієї проблеми може бути, наприклад, можливість виключити певні номери з переадресації на Mac, оскільки SMS-коди зазвичай надходять з тих самих номерів.
Як було сказано в останньому пункті - можливість копіювати код набагато зручніше і краще.
Крім того, якщо хтось вкраде мій MacBook, я перше, що роблю, це блокую його та вимикаю всі «пересилання» та безперервність на iPhone — тому також є ця опція в Налаштуваннях / Повідомленнях. :)
І якщо хтось підключив його до вас, ви також зупиняєте це?
А навіщо двоетапна авторизація, коли можна відразу заблокувати вкрадений пристрій, га?
Двохетапна перевірка є сторонньою послугою, тому я навряд чи можу нею не користуватися або ігнорувати, принаймні у випадку з банками. І я блокую або видаляю свій Mac через Find my Mac. Переваги пересилання SMS переважають, якщо я не бачу за всім диявола.
Нікого не хвилює крадіжка, це вирішує повне шифрування диска. Але що ви збираєтеся робити зі зламаним комп'ютером? Напевно, нічого, ти про це не дізнаєшся.
Ну, звичайно, переваги переважають, диявола ніхто не бачить, і користувач завжди міняє безпеку на танцюючу свиню.
До речі, у вас складається враження, що банки змушують відправляти смс просто так?
якщо хтось хвилюється, не використовуйте його. Я дуже ним задоволений
А ті, хто не має проблем у поєднанні з 2FA, навіть не використовують, бо явно не знають, що роблять.
І як мені виключити певний номер на Macbook і залишити його на iPhone? Дякую за відповідь
AFAIK: найкращий варіант – «вимкнути пересилання текстових повідомлень у розділі «Повідомлення» в налаштуваннях (на вашому iPhone)».
Якщо я не помиляюся, неможливо занести в білий список те, що слід пересилати, або в чорний список те, що ні.
Ну хіба не легше вкрасти мобільний телефон, ніж Mac? Так, ви можете мати пароль для мобільного телефону, а також для MAC. Я не фахівець, але, напевно, нелегко потрапити на Mac, якщо я не знаю пароль (я маю на увазі не читання даних, а увійти в систему, щоб запустилося SMS-реле).
Крім того, не забувайте, що ми говоримо про подвійну безпеку, де перша фаза є основною - введення пароля, який потрібно дотримуватися, і якщо у вас його немає на MAC або в якомусь текстовому документі всередині, то є немає доступу до банку (і ви не використовуєте 1111 як пароль :-))
Отже, викрадення Mac, ймовірно, завдасть вам найбільшої шкоди через справжню ціну Mac.
2FA не вирішує первинну крадіжку Mac або IP. Рішення полягає в тому, що зловмисник повинен отримати контроль над Mac і чимось іншим. Мака йому зараз достатньо. Coz зводить нанівець усі переваги 2FA.
(Порада полягає в тому, щоб захиститися від варіанту «зловмисник на Mac контролює лише браузер», який, ймовірно, не є повністю контрольованою ситуацією.)
Просто якщо ви вважаєте Mac абсолютно безпечним (ха-ха), то вам не доведеться мати справу з 2FA. А якщо ні, то 2FA перестала надавати вам підвищену безпеку, як-от driv.
І ще раз, дуже яскраво – ви заходите на сайт «nicnebezpecneho.cz», небезпечний через невдалий збіг обставин. Це може трапитися з вами досить легко - вам не обов'язково відразу переходити на порносайти, достатньо, щоб хтось не захищав блог, який ви відвідуєте, і дозволив вставляти в коментарі незахищений javascript. На цій сторінці є віддалений експлойт для вашого браузера (це все одно може статися з вами, нічого надзвичайного). Або потрапити в соціальну інженерію...
...через кілька годин ви йдете відправляти гроші з банку (заходите в gmail, github...). При цьому ви вводите дані для входу на вже зламаний комп’ютер (або вам навіть не потрібно цього робити, якщо ви зберегли ці паролі) і копіюєте та вставляєте код із SMS один раз.
..а вночі твій комп'ютер сам заходить в банк (gmail...), пароль вже хтось зберіг з шкідливими програмами. Ви не отримаєте SMS-підтвердження на свій мобільний телефон, але... у цей зламаний комп’ютер.
2FA вирішила саме ці сценарії. Поки Apple не зламала його.
Я думав, що 2FA означає, що я маю довести себе двома речами, наприклад:
– пароль
– з телефоном, який приймає SMS
Що ж, пересилання SMS на Mac на телефон також додає Mac (або більше Mac і iPad, які я поєднав) як альтернативу, але це все одно 2FA. Чи ні?
Ще раз: за звичайних обставин 2FA вирішує такі ситуації, як «мій Mac зламано, а я про це не знаю». Тому що тоді ви можете припустити, що Mac знає ваш пароль для служби (що ви вже зберегли його або прослухаєте його під час наступного входу в службу). І тепер ви можете очікувати, що він також знатиме SMS (або він може попросити їх у будь-який момент і він їх отримає).
Більшість служб, які пропонують двофакторну автентифікацію (Facebook, Dropbox, Google, Microsoft, …), дозволяють генерувати одноразові паролі за допомогою програми (я використовую Google Authenticator). Додаток постійно генерує обмежені за часом коди для зареєстрованих сервісів. Код можна відразу скопіювати та використати для входу. Вам не потрібно чекати, поки прийде СМС, і, якщо воно буде перенаправлено на Mac, вирішуйте проблему, описану в статті.
Зламані комп’ютери Mac мають SMS-повідомлення під час входу...
Не соромтеся просити про це. Якщо я ввімкнув двофазну перевірку з генерацією одноразового коду за допомогою програми, то даний сервіс не надсилає жодних СМС.
Якщо щось не змінилося, багато служб хотіли телефон і залишили SMS як параметр за замовчуванням. Отже, ваш зламаний комп’ютер повернувся.
При великій кількості банків вибору немає, просто смс і все.
Я не дуже чітко розумію це. Якщо хтось вкраде мій Mac, я вимкну SMS, віддалено стираю Mac і зміню пароль у банку. Або в чому підступ?
Ви б зробили це, перш ніж прочитати цю статтю?
Абсолютно, абсолютно автоматично.
Але двофазна аутентифікація полягає в тому, що зловмиснику потрібні два підтвердження: ПАРОЛЬ ТА SMS. Це означає, що якщо я побоююся, що хтось візьме мій спарений Mac, я не зберігаю там пароль, і якщо хтось зламає мій браузер, він не потрапить в iMessage.
Звідки ви берете впевненість, що він не зламається з вашого браузера? Згідно з поточними результатами Pwn4Fun і Pwn2Own, схоже, що для Safari є щонайменше два нульових дні:
«На Pwn4Fun Google представив дуже вражаючий експлойт проти Apple Safari, запускаючи Calculator як root на Mac OS X»
"Автор Лян Чен з команди Keen:
У порівнянні з Apple Safari, переповнення купи разом із обходом пісочниці, що призводить до виконання коду».
Тонкі білі букви на зеленому фоні - кращого навіть учень спеціальної школи не підкаже...
Один із способів зупинити це — замінити генерацію коду за допомогою ключа (наприклад, це: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) це безпечно та забезпечує більш високий рівень безпеки, KB також має зробити щось подібне - сертифікат, завантажений на USB-диск, без якого людина не може підключитися до Інтернет-банкінгу, плюс іноді на телефон надсилається одноразовий пароль тощо ... Є багато можливостей, але у кожного своя, вона повинна вирішити, чи важлива для неї безпека (чи є у неї пароль чи ні? тощо)
Unicredit має чудову річ. Смарт-ключ ніколи не є класичним SMS, я генерую одноразовий пароль у мобільному додатку.
Мені потрібна порада, чому я раптом не можу відправити мм коротке відео, що було можливо досі? Немає можливості просто вставити відео, не відповідає, не вставляє в повідомлення
Děkuji