Ондреј Холцман Иако новите функции воведени во OS X Yosemite и iOS 8 носат многу корисни функции за корисниците кои ја поедноставуваат употребата на повеќе уреди, тие исто така можат да претставуваат закана за безбедноста. На пример, препраќањето текстуални пораки од iPhone на Mac многу лесно ја заобиколува потврдата во два чекора кога се најавувате на различни услуги.
Сетот на функции Continuity, во чии рамки Apple поврзува компјутери со мобилни уреди во најновите оперативни системи, е многу интересен, особено во однос на мрежите и техниките што ги користат за поврзување на iPhone и iPad со Mac. Континуитетот ја вклучува можноста за остварување повици од Mac, испраќање датотеки преку AirDrop или брзо создавање жариште, но сега ќе се фокусираме на препраќање на редовни СМС пораки до компјутерите.
Оваа релативно незабележлива, но многу корисна функција може, во најлош случај, да се претвори во безбедносна дупка што му овозможува на напаѓачот да добие податоци за втората фаза на верификација кога се најавува на избраните услуги. Овде зборуваме за таканареченото двофазно најавување кое, покрај банките, веќе го воведуваат и многу интернет сервиси и е многу побезбедно отколку ако имате сметка заштитена само со класична и единствена лозинка.
Двофазната верификација може да се одвива на различни начини, но кога зборуваме за онлајн банкарство и други услуги на интернет, најчесто се среќаваме со испраќање на код за потврда на вашиот телефонски број, кој потоа треба да го внесете веднаш до внесувањето на вашата редовна лозинка. Затоа, ако некој ја добие вашата лозинка (или компјутер со лозинка или сертификат), обично ќе му треба вашиот мобилен телефон, на пример, да се најави на интернет банкарството, каде што ќе пристигне СМС со лозинката за втората фаза од верификацијата. .
Но, во моментот кога ќе ги препратите сите ваши текстуални пораки од вашиот iPhone на вашиот Mac и напаѓачот ќе го преземе вашиот Mac, веќе нема да му треба вашиот iPhone. За да се препраќаат класични СМС пораки, не е потребна директна врска помеѓу iPhone и Mac - тие не мора да бидат на иста Wi-Fi мрежа, Wi-Fi не мора ни да е вклучен, исто како Bluetooth, и сè што е потребно е да ги поврзете двата уреди на интернет. Услугата SMS Relay, како што официјално се нарекува препраќањето пораки, комуницира преку протоколот iMessage.
Во пракса, начинот на кој функционира е дека иако пораката ви пристигнува како обична СМС, Apple ја обработува како iMessage и ја пренесува преку Интернет на Mac (вака работеше со iMessage пред појавата на СМС релето) , каде што го прикажува како СМС, што е означено со зелено меурче. iPhone и Mac можат да бидат во различен град, само на двата уреди им е потребна интернет врска.
Можете исто така да добиете доказ дека СМС релето не работи преку Wi-Fi или Bluetooth на следниов начин: активирајте го авионскиот режим на вашиот iPhone и напишете и испратете SMS на Mac поврзан на Интернет. Потоа исклучете го Mac од Интернет и, обратно, поврзете го iPhone со него (доволно е мобилниот интернет). СМС-пораката се испраќа иако двата уреди никогаш директно не комуницирале меѓу себе - сè е обезбедено со протоколот iMessage.
Така, кога користите препраќање пораки, неопходно е да се има предвид дека безбедноста на автентикацијата со два фактори е загрозена. Во случај вашиот компјутер да биде украден, веднаш оневозможувањето на пораките е најбрзиот и најлесниот начин да се спречи потенцијалното хакирање на вашите сметки.
Внесувањето интернет банкарство е поудобно кога не треба да го препишувате кодот за потврда од екранот на телефонот, туку само да го копирате од Messages на Mac, но безбедноста е многу поважна во овој случај, што во голема мера недостасува поради СМС релето . Решението за овој проблем може да биде, на пример, можноста да се исклучат одредени броеви од препраќање на Mac, бидејќи СМС-кодовите обично доаѓаат од истите броеви.
Како што беше споменато во последниот пасус - можноста за копирање на кодот е многу поудобна и подобра.
Дополнително - ако некој ми го украде MacBook, првото нешто што го правам е да го блокирам и да ги исклучам сите „forwarding“ и Continuity на iPhone - затоа ја има и оваа опција во Settings / Messages. :)
И ако некој ви го закачи, дали и вие го запирате?
И зошто да имате овластување во два чекора кога можете веднаш да го блокирате украдениот уред, а?
Верификацијата во два чекора е услуга од трета страна, па тешко дека не можам да ја користам или игнорирам, барем во случајот со банките. И го блокирам или бришам мојот Mac преку Find my Mac. Придобивките од препраќањето СМС се поголеми ако не го гледам ѓаволот зад сè.
Никој не се грижи за кражбата, целосното шифрирање на дискот го решава тоа. Но, што ќе правите со хакиран компјутер? Веројатно ништо, нема да знаете за тоа.
Па, се разбира, предностите преовладуваат, никој не го гледа ѓаволот и корисникот секогаш заменува безбедност за свиња што танцува.
Патем, имате ли впечаток дека банките ве тераат да праќате СМС само за забава?
ако некој е загрижен тогаш не го користи. Исклучително сум задоволен од тоа
А тие што немаат грижи во комбинација со 2FA не го ни користат, бидејќи очигледно не знаат што прават.
И како да исклучам одреден број на Macbook и да го оставам на iPhone? Фала за одговорот
AFAIK најдобрата опција е „исклучете го проследувањето текстуални пораки под Messages in Settings (од вашиот iPhone).
Ако не се лажам, не може да се стави на бела листа што треба да се препрати, ниту на црна листа што не.
Па, зарем не е полесно да се украде мобилен отколку Mac? Да, можеш да имаш лозинка за мобилен, но и за MAC. Не сум експерт, но веројатно не е лесно да се дојде до Mac ако не ја знам лозинката (не мислам да ги читам податоците, туку да се логирам за да започне СМС релето).
Исто така, не заборавајте дека зборуваме за двојна безбедност, каде што првата фаза е главна - внесување на лозинката за да се почитува и ако ја немате напишана на MAC или во некој текстуален документ внатре, тогаш има нема пристап до банката (и не го користите 1111 како лозинка :-))
Значи, крадењето на Mac веројатно ќе ви предизвика најголема штета поради вистинската цена на Mac.
2FA не решава примарна кражба на Mac или IP. Решението е во тоа што напаѓачот треба да ја преземе контролата врз Mac и нешто друго. Мек-от сега му е доволен. Coz ги негира сите придобивки од 2FA.
(Советот е да се заштитите од варијантата „напаѓачот на Mac го контролира само прелистувачот“, што веројатно не е целосно контролирана ситуација.)
Само ако сметате дека Mac е тотално безбеден (хаха), тогаш не мора да се занимавате со 2FA. И ако не, тогаш 2FA престана да ви ја носи таа зголемена безбедност, како на пример возење.
И уште еднаш, многу сликовито - одите на веб-страницата „nicnebezpecneho.cz“, која е опасна поради несреќен сплет на околности. Ова може да ви се случи прилично лесно - не мора веднаш да одите на порно сајтови, доволно е некој да не го обезбеди блогот што го посетувате и да дозволи несанитизиран javascript да биде вметнат во коментарите. Има далечински експлоат за вашиот прелистувач на таа страница (ова сè уште може да ви се случи, ништо необично). Или фатете се во социјалниот инженеринг...
...по неколку часа одиш да праќаш пари од банка (се најавуваш на gmail, github...). Притоа, ги внесувате податоците за најавување во веќе компромитираниот компјутер (или дури и не мора да го правите тоа ако ги имате зачувани овие лозинки) и еднаш го копирате и залепувате кодот од SMS-пораката.
..а навечер компјутерот сам се логира во банка (gmail...), лозинката е веќе зачувана од некој со малициозен софтвер. Нема да добиете СМС за потврда на вашиот мобилен телефон, но... во тој компромитиран компјутер.
2FA ги реши токму овие сценарија. Се додека Apple не го скрши.
Мислев дека 2FA значи дека треба да се докажам со 2 работи, на пример:
- лозинка
– со телефон што прифаќа СМС
Па, препраќањето СМС на Mac на телефонот исто така го додава Mac (или повеќе Mac и iPad што ги спарав) како алтернатива, но сепак е 2FA. Или не?
Уште еднаш - во нормални околности, 2FA решава ситуации како „мојот Mac е хакиран и не знам за тоа“. Затоа што тогаш може да претпоставите дека Mac ја знае вашата лозинка за услугата (дека веќе сте ја зачувале или ќе ја слушате следниот пат кога ќе се најавите на услугата). И сега можеш да очекуваш дека и тој ќе знае СМС (или може да побара во секое време и ќе добие).
Повеќето услуги кои нудат автентикација со два фактори (Facebook, Dropbox, Google, Microsoft, ...) дозволуваат еднократните лозинки да се генерираат со помош на апликација (јас користам Google Authenticator). Апликацијата постојано генерира временски ограничени кодови за регистрирани услуги. Кодот може веднаш да се копира и да се користи за најавување. Не треба да чекате да пристигне СМС-пораката и, доколку се препрати на Mac, решете го проблемот опишан во статијата.
Компромитираните Mac имаат СМС пораки кога се најавуваат...
Слободно побарајте го тоа. Ако сум вклучил двофазна верификација со генерирање на еднократен код со помош на апликацијата, тогаш дадената услуга не испраќа SMS.
Ако нешто не се сменило, многу услуги го сакале телефонот и оставиле SMS како стандардна опција. Значи, вашиот хакиран компјутер се врати.
Кај голем број банки нема избор, само СМС и толку.
Не го разбирам ова многу јасно. Ако некој ми го украде Mac, исклучувам СМС, далечински го бришам Mac и ја менувам лозинката во банка. Или што е финтата?
Дали би го направиле тоа пред да ја прочитате оваа статија?
Апсолутно, апсолутно автоматски.
Но, двофазната автентикација се однесува на фактот дека на напаѓачот му требаат две потврди: ЛАЗИНКА И СМС. Ова значи дека ако се плашам дека некој ќе го земе мојот спарен Mac, не ја чувам лозинката таму, и ако некој го хакира мојот прелистувач, нема да влезе во iMessage.
Каде го добивате уверувањето дека нема да избие од вашиот прелистувач? Според тековните резултати на Pwn4Fun и Pwn2Own, се чини дека има најмалку два нула дена за Safari:
„На Pwn4Fun, Google испорача многу импресивна експлоатација против Apple Safari што го лансираше Калкулаторот како root на Mac OS X.
„Од Лианг Чен од Кин Тим:
Против Apple Safari, прелевање на грамада заедно со бајпас на песокот, што резултира со извршување на кодот.
Тенки бели букви на зелена позадина - ниту ученик од специјално училиште не можеше да го предложи подобро...
Еден од начините да се запре ова е да се замени генерирањето код преку dongle (на пример ова: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) безбедно е и овозможува поголема безбедност, и KB треба да направи нешто слично - сертификат поставен на USB-диск, без кој човек не може да се поврзе на интернет банкарство, плус понекогаш се испраќа еднократна лозинка на телефонот итн. ... Има многу можности, но секој има своја, таа треба да одлучи дали безбедноста и е важна (има лозинка или не? итн.)
Уникредит има одлична работа. Паметниот клуч никогаш не е класичен СМС, но јас генерирам еднократна лозинка во мобилната апликација.
Ми треба совет зошто наеднаш не можам да испратам кратко видео од мм, што беше можно до сега? Нема опција едноставно да вметнете видео, тоа не реагира, не го вметнува во пораката
ви благодарам