Ondrej Holzman Bár az OS X Yosemite és az iOS 8 rendszerben bevezetett új funkciók sok hasznos funkciót hoznak a felhasználók számára, amelyek leegyszerűsítik a több eszköz használatát, ugyanakkor biztonsági fenyegetést is jelenthetnek. Például a szöveges üzenetek továbbítása iPhone-ról Mac számítógépre nagyon könnyen megkerüli a kétlépcsős azonosítást, amikor bejelentkezik különböző szolgáltatásokba.
A Continuity funkciók készlete, amelyen belül az Apple összekapcsolja a számítógépeket a legújabb operációs rendszerű mobileszközökkel, nagyon érdekes, különösen az iPhone-ok és iPadek Mac-hez csatlakoztatására használt hálózatok és technikák tekintetében. A folytonosság magában foglalja a Mac-ről történő hívások kezdeményezését, az AirDrop-on keresztüli fájlok küldését vagy a hotspot gyors létrehozását, de most a rendszeres SMS-ek számítógépekre továbbítására koncentrálunk.
Ez a viszonylag nem feltűnő, de nagyon hasznos funkció a legrosszabb esetben egy biztonsági réssé válhat, amely lehetővé teszi a támadó számára, hogy a kiválasztott szolgáltatásokba való bejelentkezéskor adatokat szerezzen a második ellenőrzési fázishoz. Itt az úgynevezett kétfázisú bejelentkezésről van szó, amelyet a bankok mellett már számos internetes szolgáltatás is bevezet, és sokkal biztonságosabb, mintha csak klasszikus és egyetlen jelszóval védett számlánk lenne.
A kétfázisú hitelesítés többféleképpen is megtörténhet, de ha online bankolásról és egyéb internetes szolgáltatásokról beszélünk, akkor leggyakrabban egy ellenőrző kód elküldésével találkozunk a telefonszámra, amelyet ezután a szokásos jelszó megadása mellett kell megadnia. Ezért ha valaki kézhez kapja a jelszavát (vagy a számítógépet, beleértve a jelszót vagy a tanúsítványt), akkor általában szüksége lesz a mobiltelefonjára, például az internetbankba való bejelentkezéshez, ahol érkezik egy SMS az ellenőrzés második fázisához szükséges jelszóval. .
De abban a pillanatban, amikor az összes szöveges üzenetet továbbítják az iPhone-ról a Mac-re, és egy támadó átveszi az uralmat a Mac gépén, már nincs szüksége iPhone-jára. A klasszikus SMS-ek továbbításához nincs szükség közvetlen kapcsolatra iPhone és Mac között – nem kell ugyanarra a Wi-Fi hálózatra csatlakozniuk, a Wi-Fi-t még csak be sem kell kapcsolni, akárcsak a Bluetooth-t, és csak mindkét eszközt csatlakoztatni kell az internethez. Az SMS Relay szolgáltatás, ahogy az üzenetek továbbítását hivatalosan hívják, az iMessage protokollon keresztül kommunikál.
A gyakorlatban ez úgy működik, hogy bár az üzenet normál SMS-ben érkezik hozzád, az Apple iMessage-ként dolgozza fel, és az interneten keresztül továbbítja a Mac-re (az SMS Relay megjelenése előtt így működött az iMessage-nél) , ahol SMS-ként jeleníti meg, amit egy zöld buborék jelez. Az iPhone és a Mac különböző városban lehet, csak mindkét eszköznek internetkapcsolatra van szüksége.
A következő módon is igazolhatja, hogy az SMS Relay nem működik Wi-Fi-n vagy Bluetooth-on keresztül: aktiválja a repülőgép üzemmódot iPhone-ján, és írjon és küldjön SMS-t az internethez csatlakoztatott Mac számítógépen. Ezután válassza le a Mac-et az internetről, és fordítva, csatlakoztassa az iPhone-t (elég a mobilinternet). Az SMS elküldése annak ellenére is megtörténik, hogy a két eszköz soha nem kommunikált közvetlenül egymással – mindent az iMessage protokoll biztosít.
Így az üzenettovábbítás használatakor szem előtt kell tartani, hogy a kéttényezős hitelesítés biztonsága sérül. Abban az esetben, ha számítógépét ellopják, az üzenetküldés azonnali letiltása a leggyorsabb és legegyszerűbb módja annak, hogy megakadályozza a fiókok esetleges feltörését.
Az internetbankba való belépés kényelmesebb, ha nem a telefon kijelzőjéről kell átírni az ellenőrző kódot, hanem csak ki kell másolni a Messages-ből a Mac-en, de a biztonság ebben az esetben sokkal fontosabb, ami az SMS Relay miatt nagyon hiányzik . Erre a problémára megoldás lehet például az a lehetőség, hogy bizonyos számokat kizárjunk a továbbításból Mac-en, mivel az SMS-kódok általában ugyanazokról a számokról származnak.
Amint az utolsó bekezdésben említettük - a kód másolásának lehetősége sokkal kényelmesebb és jobb.
Ráadásul - ha valaki ellopja a MacBookomat, akkor az első dolgom az, hogy letiltom és kikapcsolom az összes "továbbítást" és a folytonosságot az iPhone-on - ezért van ez a lehetőség is a Beállítások / Üzenetek között. :)
És ha valaki rád köt, abba is hagyod?
És miért van kétlépcsős engedélyezés, ha az ellopott eszközt azonnal letilthatod, mi?
A kétlépcsős azonosítás egy harmadik fél szolgáltatása, így aligha tudom nem használni vagy figyelmen kívül hagyni, legalábbis a bankok esetében. És blokkolom vagy törlöm a Mac-emet a Find my Mac segítségével. Az SMS továbbítás előnyei felülmúlják, ha nem látom az ördögöt minden mögött.
Senkit nem érdekel a lopás, a teljes lemeztitkosítás megoldja. De mit kezdesz egy feltört számítógéppel? Valószínűleg semmi, nem fogsz tudni róla.
Hát persze, az előnyök érvényesülnek, senki nem látja az ördögöt, és a felhasználó mindig elcseréli a biztosítékot egy táncoló malacra.
Egyébként az a benyomásod, hogy a bankok csak szórakozásból kényszerítenek SMS-küldésre?
ha valaki aggódik, ne használja. Rendkívül elégedett vagyok vele
Akinek pedig nincs gondja a 2FA-val kombinálva, az nem is használja, mert nyilvánvalóan nem tudja, mit csinál.
És hogyan zárhatok ki egy adott számot a Macbookon és hagyhatok az iPhone-on? Köszönöm a választ
AFAIK a legjobb megoldás az, hogy "kapcsolja ki a szöveges üzenetek továbbítását a Beállítások Üzenetek alatt (iPhone-járól)."
Ha nem tévedek, nem lehet fehérlistára tenni, hogy mit kell továbbítani, és azt sem, hogy mit nem.
Nos, nem könnyebb ellopni egy mobiltelefont, mint egy Mac-et? Igen, mobilhoz is lehet jelszó, de MAC-hoz is. Nem vagyok hozzáértő, de valószínűleg nem egyszerű hozzájutni a Mac-hez, ha nem tudom a jelszót (nem az adatok kiolvasására gondolok, hanem a bejelentkezésre, hogy elinduljon az SMS-relé).
Ne felejtsd el azt sem, hogy kettős biztonságról beszélünk, ahol az első fázis a fő - a jelszó megadása a honoráláshoz, és ha nincs ráírva a MAC-ra vagy valamilyen szöveges dokumentumra, akkor ott van nincs hozzáférés a bankhoz (és nem a 1111-et használod jelszónak :-))
Tehát valószínűleg egy mac ellopása okozza a legnagyobb kárt a mac valódi ára miatt.
A 2FA nem oldja meg az elsődleges Mac- vagy IP-lopást. A megoldás az, hogy a támadónak át kell vennie az irányítást a Mac felett, és valami mást. Most már elég neki a Mac. Coz tagadja a 2FA minden előnyét.
(Az a tanács, hogy védekezzünk a „Mac-en a támadó csak a böngészőt vezérli” változat ellen, ami valószínűleg nem teljesen ellenőrzött helyzet.)
Csak arról van szó, hogy ha a Mac-et teljesen biztonságosnak tartod (haha), akkor nem kell foglalkoznod a 2FA-val. És ha nem, akkor a 2FA nem nyújtja ezt a fokozott biztonságot, például a meghajtót.
És még egyszer, nagyon élénken – felkeresi a „nicnebezpecneho.cz” webhelyet, amely egy szerencsétlen körülmények miatt veszélyes. Ez nagyon könnyen megtörténhet veled – nem kell rögtön pornóoldalakra menned, elég, ha valaki nem védi a felkeresett blogot, és hagyja, hogy fertőtlenített javascriptet illesszen be a kommentek közé. Ezen az oldalon van egy távoli kizsákmányolás a böngészőhöz (ez még mindig megtörténhet veled, semmi szokatlan). Vagy beleragad a social engineeringbe...
...pár óra múlva elmész pénzt küldeni a bankból (belépsz gmailbe, githubba...). Ennek során beírja a bejelentkezési adatokat a már feltört számítógépbe (vagy nem is kell ezt megtennie, ha elmentette ezeket a jelszavakat), majd egyszer kimásolja és beilleszti a kódot az SMS-ből.
..éjszaka pedig a számítógéped magától bejelentkezik a bankba (gmail...), a jelszót már elmentette valaki kártevővel. Mobiltelefonjára nem kap visszaigazoló SMS-t, de... abba a kompromittált számítógépbe.
A 2FA pontosan ezeket a forgatókönyveket oldotta meg. Amíg az Apple fel nem törte.
Azt hittem, hogy a 2FA azt jelenti, hogy 2 dologgal kell bizonyítanom, pl.
- Jelszó
– SMS-t fogadó telefonnal
Nos, SMS-ek továbbítása Mac-re a telefonra szintén hozzáadja a Mac-et (vagy több Mac-et és iPadet, amelyeket párosítottam), de ez továbbra is 2FA. Vagy nem?
Még egyszer - normál körülmények között a 2FA megoldja az olyan helyzeteket, mint például: "A Mac-emet feltörték, és nem tudok róla". Mert akkor feltételezheti, hogy a Mac ismeri a szolgáltatás jelszavát (már elmentette vagy meghallgatja, amikor legközelebb bejelentkezik a szolgáltatásba). Most pedig számíthatsz rá, hogy SMS-t is tud (vagy bármikor kérhet és megkapja).
A legtöbb kétfaktoros hitelesítést kínáló szolgáltatás (Facebook, Dropbox, Google, Microsoft stb.) lehetővé teszi egyszeri jelszavak generálását egy alkalmazás segítségével (én Google Authenticatort használok). Az alkalmazás folyamatosan generál időkorlátos kódokat a regisztrált szolgáltatásokhoz. A kód azonnal lemásolható és a bejelentkezéshez használható. Nem kell megvárnia az SMS megérkezését, és ha továbbítják a Mac-re, akkor megoldja a cikkben leírt problémát.
A kompromittált Mac-eken bejelentkezéskor SMS üzenetek jelennek meg...
Kérdezz bátran. Ha az alkalmazás segítségével bekapcsoltam a kétfázisú ellenőrzést egyszeri kód generálásával, akkor az adott szolgáltatás nem küld SMS-t.
Ha valami nem változott, akkor nagyon sok szolgáltatás akarta a telefont, és az SMS-t hagyta alapértelmezettként. Tehát a feltört számítógéped visszatért.
A sok banknál nincs más választás, csak egy SMS és ennyi.
Ezt nem nagyon értem. Ha valaki ellopja a Mac-emet, kikapcsolom az SMS-t, távolról letörlöm a Mac-et és megváltoztatom a jelszót a bankban. Vagy mi a trükk?
Megtennéd ezt a cikk elolvasása előtt?
Abszolút, teljesen automatikusan.
De a kétfázisú hitelesítés arról szól, hogy a támadónak két megerősítésre van szüksége: JELSZÓ ÉS SMS. Ez azt jelenti, hogy ha attól tartok, hogy valaki elveszi a párosított Mac-emet, akkor nem tárolom ott a jelszót, és ha valaki feltöri a böngészőmet, akkor nem jut be az iMessage-be.
Honnan van biztosítva, hogy nem fog kitörni a böngésződből? A Pwn4Fun és a Pwn2Own jelenlegi eredményei szerint úgy tűnik, hogy legalább két nulla nap van a Safari számára:
"A Pwn4Funnál a Google egy nagyon lenyűgöző támadást hajtott végre az Apple Safari ellen, amikor rootként elindította a Calculatort Mac OS X rendszeren"
Liang Chen, a Keen Teamtől:
Az Apple Safari ellen halom túlcsordulás és sandbox bypass, ami kódvégrehajtást eredményez."
Vékony fehér betűk zöld alapon – ezt még egy speciális iskola tanulója sem tudta volna jobban javasolni...
Ennek megállításának egyik módja a kódgenerálás hardverkulcson keresztüli lecserélése (például ez: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) biztonságos és nagyobb biztonságot tesz lehetővé, a KB-nak is valami hasonlót kell csinálnia - USB lemezre feltöltött tanúsítvány, ami nélkül az ember nem tud internetbankhoz csatlakozni, plusz néha egyszeri jelszót küldenek a telefonra stb. ... Sok lehetőség van, de mindenkinek megvan a sajátja, el kell döntenie, hogy fontos-e számára a biztonság (van-e jelszava vagy nincs? stb.)
Az Unicreditnek van egy nagyszerű dolga. Az intelligens kulcs sosem klasszikus SMS, hanem a mobilalkalmazásban generálok egy egyszeri jelszót.
Tanácsra lenne szükségem, hogy miért nem tudok hirtelen egy mm-es rövid videót küldeni, ami eddig lehetséges volt? Nincs lehetőség egyszerűen beszúrni egy videót, nem válaszol, nem illeszti be az üzenetbe
Köszönöm