Ondrej Holzman Aínda que as novas funcións introducidas en OS X Yosemite e iOS 8 traen moitas funcións útiles para os usuarios que simplifican o uso de varios dispositivos, tamén poden supoñer unha ameaza á seguridade. Por exemplo, reenviar mensaxes de texto desde un iPhone a un Mac evita moi facilmente a verificación en dous pasos ao iniciar sesión en varios servizos.
O conxunto de funcións de Continuidade, dentro das que Apple conecta ordenadores con dispositivos móbiles nos últimos sistemas operativos, resulta moi interesante, sobre todo no que se refire ás redes e técnicas que utilizan para conectar iPhones e iPads aos Macs. A continuidade inclúe a posibilidade de facer chamadas desde un Mac, enviar ficheiros a través de AirDrop ou crear rapidamente un hotspot, pero agora centrarémonos en reenviar SMS regulares aos ordenadores.
Esta función relativamente pouco visible, pero moi útil, pode, no peor dos casos, converterse nun buraco de seguridade que permite que un atacante obteña datos para a segunda fase de verificación ao iniciar sesión nos servizos seleccionados. Falamos aquí do chamado inicio de sesión en dúas fases, que, ademais dos bancos, xa está introducido por moitos servizos de internet e é moito máis seguro que se tes unha conta protexida só por un contrasinal clásico e único.
A verificación en dúas fases pode realizarse de diferentes xeitos, pero cando falamos de banca en liña e outros servizos de Internet, a maioría das veces atopámonos co envío dun código de verificación ao teu número de teléfono, que despois tes que introducir xunto ao teu contrasinal habitual. Polo tanto, se alguén se apodera do teu contrasinal (ou do teu ordenador, incluído o contrasinal ou o certificado), normalmente necesitará o teu teléfono móbil, por exemplo, para iniciar sesión na banca por Internet, onde chegará un SMS co contrasinal para a segunda fase de verificación. .
Pero no momento en que tes todas as túas mensaxes de texto reenviadas do teu iPhone ao teu Mac e un atacante se fai cargo do teu Mac, xa non necesitan o teu iPhone. Para reenviar mensaxes SMS clásicas, non é necesaria unha conexión directa entre iPhone e Mac: non teñen que estar na mesma rede Wi-Fi, nin sequera ten que estar activada, igual que Bluetooth. e todo o que fai falta é conectar os dous dispositivos a internet. O servizo SMS Relay, como se denomina oficialmente o reenvío de mensaxes, comunícase a través do protocolo iMessage.
Na práctica, a forma en que funciona é que aínda que a mensaxe che chega como un SMS normal, Apple procesa como un iMessage e transfira a través de Internet á Mac (así funcionaba con iMessage antes da chegada do SMS Relay) , onde o mostra como un SMS, que se indica cunha burbulla verde . iPhone e Mac poden estar nunha cidade diferente, só os dous dispositivos necesitan conexión a Internet.
Tamén podes obter probas de que o SMS Relay non funciona mediante Wi-Fi ou Bluetooth do seguinte xeito: activa o modo avión no teu iPhone e escribe e envía unha SMS nun Mac conectado a Internet. A continuación, desconecte o Mac de Internet e, pola contra, conéctese o iPhone a el (a internet móbil é suficiente). O SMS envíase aínda que os dous dispositivos nunca se comunicaron directamente entre si - todo está garantido polo protocolo iMessage.
Así, ao utilizar o reenvío de mensaxes, é necesario ter en conta que a seguridade da autenticación de dous factores está comprometida. No caso de roubar o teu ordenador, desactivar a mensaxería inmediatamente é a forma máis rápida e sinxela de evitar un posible hackeo das túas contas.
Entrar na banca por Internet é máis cómodo se non tes que reescribir o código de verificación desde a pantalla do teléfono, senón que só tes que copialo desde Messages na Mac, pero a seguridade é moito máis importante neste caso, que falta moito debido ao SMS Relay. . Unha solución a este problema podería ser, por exemplo, a posibilidade de excluír números específicos do reenvío en Mac, xa que os códigos SMS adoitan proceder dos mesmos números.
Como se mencionou no último parágrafo, a posibilidade de copiar o código é moito máis conveniente e mellor.
Ademais -se alguén me rouba o MacBook, o primeiro que fago é bloquealo e desactivar todos os "reenvíos" e Continuidade no iPhone - por iso tamén hai esta opción en Configuración/Mensaxes. :)
E se alguén che engancha, ti tamén o paras?
E por que ter unha autorización en dous pasos cando podes bloquear o dispositivo roubado de inmediato, non?
A verificación en dous pasos é un servizo de terceiros, polo que dificilmente podo non usalo ou ignoralo, polo menos no caso dos bancos. E bloqueo ou elimino o meu Mac mediante Find my Mac. Os beneficios do reenvío de SMS superan se non vexo o demo detrás de todo.
A ninguén lle importa o roubo, o cifrado completo do disco resolve isto. Pero que vas facer cun ordenador pirateado? Probablemente nada, non o saberás.
Ben, claro, as vantaxes prevalecen, ninguén ve o demo e o usuario sempre cambia a seguridade por un porco bailador.
Por certo, tes a impresión de que os bancos te obrigan a enviar SMS só por diversión?
se alguén está preocupado, non o use. Estou moi satisfeito con iso
E aqueles que non teñen preocupacións en combinación con 2FA nin sequera o usan, porque obviamente non saben o que están a facer.
E como exclúo un número específico no Macbook e o deixo no iPhone? Grazas pola resposta
A FAIK a mellor opción é "desactivar o reenvío de mensaxes de texto en Mensaxes en Configuración (desde o teu iPhone)."
Se non me equivoco, non é posible poñer na lista branca o que se debe reenviar, nin na lista negra o que non.
Ben, non é máis fácil roubar un móbil que un Mac? Si, podes ter un contrasinal para móbil, pero tamén para MAC. Non son un experto, pero probablemente non sexa doado chegar ao Mac se non coñezo o contrasinal (non me refiro a ler os datos, senón a iniciar sesión para que se inicie a retransmisión de SMS).
Ademais, non esquezas que estamos a falar de dobre seguridade, onde a primeira fase é a principal: introducir o contrasinal para honrar e se non o tes escrito no MAC ou nalgún documento de texto dentro, entón hai sen acceso ao banco (e non usas 1111 como contrasinal :-))
Polo tanto, roubar un mac probablemente che cause o maior dano debido ao verdadeiro prezo do mac.
2FA non resolve o roubo principal de Mac nin IP. A solución é que o atacante ten que facerse co control do Mac e outra cousa. O Mac é suficiente para el agora. Coz nega todos os beneficios de 2FA.
(O consello é protexerse contra a variante "o atacante en Mac só controla o navegador", que probablemente non sexa unha situación completamente controlada).
É só que se consideras que Mac é totalmente seguro (jaja), entón non tes que xestionar 2FA. E se non, entón 2FA deixou de ofrecerche esa seguridade aumentada, como driv.
E unha vez máis, de xeito moi vivo, vai ao sitio web "nicnebezpecneho.cz", que é perigoso debido a un conxunto desafortunado de circunstancias. Isto pode ocorrerche con bastante facilidade: non tes que ir a sitios pornográficos de inmediato, é suficiente para que alguén non protexe o blog que estás visitando e permita que se insira un JavaScript non desinfectado nos comentarios. Hai un exploit remoto para o teu navegador nesa páxina (isto pode ocorrerche, nada moi raro). Ou dedícate á enxeñería social...
...despois dunhas horas vas enviar cartos dende o banco (inicias sesión en gmail, github...). Ao facelo, introduce os datos de inicio de sesión no ordenador xa comprometido (ou nin sequera tes que facelo se tes estes contrasinais gardados) e copia e pega o código do SMS unha vez.
..e pola noite, o teu ordenador inicia sesión no banco (gmail...) por si só, o contrasinal xa foi gardado por alguén con malware. Non recibirás unha SMS de confirmación no teu teléfono móbil, pero... nese ordenador comprometido.
2FA resolveu exactamente estes escenarios. Ata que Apple o rompeu.
Pensei que 2FA significa que teño que demostrarme con dúas cousas, por exemplo:
- contrasinal
– cun teléfono que acepte SMS
Ben, reenviar SMS a Mac ao teléfono tamén engade o Mac (ou máis Mac e iPad que teño emparejados) como alternativa, pero aínda é 2FA. Ou non?
Unha vez máis, en circunstancias normais, 2FA resolve situacións como "o meu Mac está pirateado e non o sei". Porque entón podes asumir que o Mac coñece o teu contrasinal para o servizo (que xa o tes gardado ou que o escoitarás a próxima vez que inicies sesión no servizo). E agora pode esperar que el tamén saiba SMS (ou pode solicitalo en calquera momento e recibirao).
A maioría dos servizos que ofrecen autenticación de dous factores (Facebook, Dropbox, Google, Microsoft, …) permiten xerar contrasinais únicos mediante unha aplicación (eu uso Google Authenticator). A aplicación xera constantemente códigos de tempo limitado para os servizos rexistrados. O código pódese copiar inmediatamente e usar para iniciar sesión. Non tes que esperar a que cheguen as SMS e, se se envían ao Mac, soluciona o problema descrito no artigo.
Os Mac comprometidos teñen mensaxes SMS ao iniciar sesión...
Non dubides en pedir iso. Se activei a verificación en dúas fases coa xeración dun código único mediante a aplicación, entón o servizo proporcionado non envía ningún SMS.
Se algo non cambiou, moitos servizos querían o teléfono e deixaron a SMS como opción predeterminada. Entón, o teu ordenador pirateado volveu.
Cun gran número de bancos, non hai opción, só un SMS e xa está.
Non o entendo moi claro. Se alguén me rouba o Mac, desactivo as SMS, limpo o Mac de forma remota e cambio o contrasinal no banco. Ou cal é a trampa?
Farías iso antes de ler este artigo?
Absolutamente, absolutamente automaticamente.
Pero a autenticación en dúas fases trata sobre o feito de que o atacante necesita dúas confirmacións: CONTRASEÑA E SMS. Isto significa que se teño medo de que alguén leve o meu Mac emparellado, non gardo o contrasinal alí e, se alguén piratea o meu navegador, non entrará en iMessage.
De onde tes a garantía de que non se sairá do teu navegador? Segundo os resultados actuais de Pwn4Fun e Pwn2Own, parece que hai polo menos dous días cero para Safari:
"En Pwn4Fun, Google realizou un exploit moi impresionante contra Apple Safari lanzando Calculator como root en Mac OS X"
"Por Liang Chen de Keen Team:
Contra Apple Safari, un desbordamento de pilas xunto cun bypass sandbox, o que resulta na execución de código".
Letras finas e brancas sobre fondo verde: nin sequera un alumno dunha escola especial podería suxerilo mellor...
Unha das formas de deter isto é substituír a xeración de código mediante un dongle (por exemplo: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) é seguro e permite unha maior seguridade, KB tamén ten que facer algo semellante: un certificado cargado nun disco USB, sen o cal unha persoa non pode conectarse á banca por Internet, ademais, ás veces, envíase un contrasinal único ao teléfono, etc. ... Hai moitas posibilidades, pero cada un ten o seu ela ten que decidir se a seguridade é importante para ela (se ten un contrasinal ou non? etc.)
Unicredit ten unha gran cousa. A chave intelixente nunca é un SMS clásico, pero xero un contrasinal único na aplicación móbil.
Necesito consello sobre por que de súpeto non podo enviar un vídeo curto en mm, que era posible ata agora? Non hai opción de simplemente inserir un vídeo, non responde, non o insire na mensaxe
Děkuji