Ondrej Holzman Walaupun ciri baharu yang diperkenalkan dalam OS X Yosemite dan iOS 8 membawa banyak ciri berguna kepada pengguna yang memudahkan penggunaan berbilang peranti, ia juga boleh menimbulkan ancaman keselamatan. Contohnya, memajukan mesej teks daripada iPhone ke Mac dengan sangat mudah memintas pengesahan dua langkah apabila melog masuk ke pelbagai perkhidmatan.
Set fungsi Kesinambungan, di mana Apple menghubungkan komputer dengan peranti mudah alih dalam sistem pengendalian terkini, sangat menarik, terutamanya dari segi rangkaian dan teknik yang mereka gunakan untuk menyambungkan iPhone dan iPad ke Mac. Kesinambungan termasuk keupayaan untuk membuat panggilan daripada Mac, menghantar fail melalui AirDrop atau mencipta hotspot dengan cepat, tetapi kini kami akan menumpukan pada pemajuan SMS biasa ke komputer.
Fungsi yang agak tidak ketara, tetapi sangat berguna ini boleh, dalam kes yang paling teruk, bertukar menjadi lubang keselamatan yang membolehkan penyerang mendapatkan data untuk fasa pengesahan kedua apabila log masuk ke perkhidmatan terpilih. Kami bercakap di sini tentang apa yang dipanggil log masuk dua fasa, yang, sebagai tambahan kepada bank, telah pun diperkenalkan oleh banyak perkhidmatan internet dan jauh lebih selamat daripada jika anda mempunyai akaun yang dilindungi hanya oleh kata laluan klasik dan tunggal.
Pengesahan dua fasa boleh berlaku dalam cara yang berbeza, tetapi apabila kita bercakap tentang perbankan dalam talian dan perkhidmatan internet yang lain, kami paling kerap menghadapi penghantaran kod pengesahan ke nombor telefon anda, yang kemudian anda perlu masukkan di sebelah memasukkan kata laluan biasa anda. Oleh itu, jika seseorang mendapat kata laluan anda (atau komputer termasuk kata laluan atau sijil), mereka biasanya memerlukan telefon mudah alih anda, contohnya, untuk log masuk ke perbankan internet, di mana SMS dengan kata laluan untuk pengesahan fasa kedua akan tiba. .
Tetapi apabila anda telah menghantar semua mesej teks anda daripada iPhone anda ke Mac anda dan penyerang mengambil alih Mac anda, mereka tidak lagi memerlukan iPhone anda. Untuk memajukan mesej SMS klasik, tiada sambungan langsung diperlukan antara iPhone dan Mac - mereka tidak perlu berada pada rangkaian Wi-Fi yang sama, Wi-Fi tidak perlu dihidupkan, sama seperti Bluetooth, dan semua yang diperlukan ialah menyambungkan kedua-dua peranti ke internet. Perkhidmatan SMS Relay, sebagai pemajuan mesej secara rasmi dipanggil, berkomunikasi melalui protokol iMessage.
Dalam praktiknya, cara ia berfungsi ialah walaupun mesej itu sampai kepada anda sebagai SMS biasa, Apple memprosesnya sebagai iMessage dan memindahkannya melalui Internet ke Mac (ini adalah cara ia berfungsi dengan iMessage sebelum kemunculan SMS Relay) , di mana ia memaparkannya sebagai SMS, yang ditunjukkan oleh gelembung hijau . iPhone dan Mac masing-masing boleh berada di bandar yang berbeza, hanya kedua-dua peranti memerlukan sambungan Internet.
Anda juga boleh mendapatkan bukti bahawa SMS Relay tidak berfungsi melalui Wi-Fi atau Bluetooth dengan cara berikut: aktifkan mod kapal terbang pada iPhone anda dan tulis serta hantar SMS pada Mac yang disambungkan ke Internet. Kemudian putuskan sambungan Mac dari Internet dan, sebaliknya, sambungkan iPhone kepadanya (internet mudah alih sudah memadai). SMS dihantar walaupun kedua-dua peranti tidak pernah berkomunikasi secara langsung antara satu sama lain - semuanya dipastikan oleh protokol iMessage.
Oleh itu, apabila menggunakan pemajuan mesej, perlu diingat bahawa keselamatan pengesahan dua faktor terjejas. Sekiranya komputer anda dicuri, melumpuhkan pemesejan serta-merta ialah cara terpantas dan paling mudah untuk mengelakkan kemungkinan penggodaman akaun anda.
Memasuki perbankan Internet adalah lebih mudah jika anda tidak perlu menulis semula kod pengesahan dari paparan telefon, tetapi hanya menyalinnya dari Messages pada Mac, tetapi keselamatan adalah lebih penting dalam kes ini, yang sangat kurang disebabkan oleh SMS Relay . Penyelesaian kepada masalah ini mungkin, sebagai contoh, kemungkinan untuk mengecualikan nombor tertentu daripada pemajuan pada Mac, kerana kod SMS biasanya datang daripada nombor yang sama.
Seperti yang dinyatakan dalam perenggan terakhir - keupayaan untuk menyalin kod adalah lebih mudah dan lebih baik.
Di samping itu - jika seseorang mencuri MacBook saya, perkara pertama yang saya lakukan ialah menyekatnya dan mematikan semua "pemajuan" dan Kesinambungan pada iPhone - itulah sebabnya terdapat juga pilihan ini dalam Tetapan / Mesej. :)
Dan jika seseorang mengaitkannya kepada anda, adakah anda juga menghentikannya?
Dan mengapa mempunyai kebenaran dua langkah apabila anda boleh menyekat peranti yang dicuri dengan segera, ya?
Pengesahan dua langkah ialah perkhidmatan pihak ketiga, jadi saya hampir tidak boleh menggunakannya atau mengabaikannya, sekurang-kurangnya dalam kes bank. Dan saya menyekat atau memadam Mac saya melalui Cari Mac saya. Faedah penghantaran SMS lebih besar daripada jika saya tidak melihat syaitan di sebalik segala-galanya.
Tiada siapa yang mengambil berat tentang kecurian, penyulitan cakera penuh menyelesaikannya. Tetapi apa yang anda akan lakukan dengan komputer yang digodam? Mungkin tiada apa-apa, anda tidak akan tahu mengenainya.
Sudah tentu, kelebihan diutamakan, tiada siapa yang melihat syaitan dan pengguna sentiasa menukar keselamatan untuk babi yang menari.
By the way, adakah anda mempunyai tanggapan bahawa bank memaksa anda untuk menghantar SMS hanya untuk keseronokan?
kalau ada yang risau jangan pakai. Saya amat berpuas hati dengannya
Dan mereka yang tidak mempunyai kebimbangan dalam kombinasi dengan 2FA tidak menggunakannya, kerana mereka jelas tidak tahu apa yang mereka lakukan.
Dan bagaimanakah saya boleh mengecualikan nombor tertentu pada Macbook dan meninggalkannya pada iPhone? Terima kasih atas jawapannya
AFAIK pilihan terbaik ialah "matikan Pemajuan Mesej Teks di bawah Mesej dalam Tetapan (dari iPhone anda)."
Jika tidak silap saya, tidak mungkin untuk menyenarai putih apa yang perlu dimajukan, atau menyenaraihitamkan apa yang tidak.
Nah, bukankah lebih mudah untuk mencuri telefon bimbit daripada Mac? Ya, anda boleh mempunyai kata laluan untuk mudah alih, tetapi juga untuk MAC. Saya bukan pakar, tetapi mungkin bukan mudah untuk sampai ke Mac jika saya tidak tahu kata laluan (saya tidak bermaksud untuk membaca data, tetapi untuk log masuk supaya geganti SMS bermula).
Juga, jangan lupa bahawa kita bercakap tentang keselamatan berganda, di mana fasa pertama adalah yang utama - memasukkan kata laluan untuk menghormati dan jika anda tidak menulisnya pada MAC atau dalam beberapa dokumen teks di dalamnya, maka terdapat tiada akses kepada bank (dan anda tidak menggunakan 1111 sebagai kata laluan :-))
Jadi, mencuri mac mungkin akan menyebabkan anda mengalami kerosakan yang paling besar disebabkan oleh harga sebenar mac tersebut.
2FA tidak menyelesaikan kecurian Mac atau IP utama. Penyelesaiannya ialah penyerang perlu mengawal Mac dan sesuatu yang lain. Mac sudah cukup untuknya sekarang. Coz menafikan semua kebaikan 2FA.
(Nasihatnya adalah untuk melindungi daripada varian "penyerang pada Mac hanya mengawal penyemak imbas", yang mungkin bukan situasi yang dikawal sepenuhnya.)
Cuma, jika anda menganggap Mac benar-benar selamat (haha), maka anda tidak perlu berurusan dengan 2FA. Dan jika tidak, maka 2FA berhenti membawakan anda keselamatan yang meningkat itu, seperti pemanduan.
Dan sekali lagi, dengan jelas - anda pergi ke laman web "nicnebezpecneho.cz", yang berbahaya disebabkan oleh satu set keadaan yang malang. Ini boleh berlaku kepada anda dengan agak mudah - anda tidak perlu pergi ke tapak lucah serta-merta, cukup bagi seseorang untuk tidak melindungi blog yang anda lawati dan membiarkan javascript yang tidak bersih dimasukkan ke dalam ulasan. Terdapat eksploitasi jauh untuk penyemak imbas anda pada halaman itu (ini masih boleh berlaku kepada anda, tiada apa yang luar biasa). Atau terjebak dalam kejuruteraan sosial...
...selepas beberapa jam anda pergi menghantar wang dari bank (anda log masuk ke gmail, github...). Dengan berbuat demikian, anda memasukkan data log masuk ke dalam komputer yang telah terjejas (atau anda tidak perlu berbuat demikian jika anda menyimpan kata laluan ini) dan menyalin dan menampal kod daripada SMS sekali.
..dan pada waktu malam, komputer anda log masuk ke bank (gmail...) dengan sendirinya, kata laluan telah pun disimpan oleh seseorang yang mempunyai perisian hasad. Anda tidak akan menerima SMS pengesahan pada telefon bimbit anda, tetapi... ke dalam komputer yang terjejas itu.
2FA menyelesaikan senario ini dengan tepat. Sehingga Apple memecahkannya.
Saya fikir 2FA bermakna saya perlu membuktikan diri saya dengan 2 perkara, contohnya:
– kata laluan
– dengan telefon yang menerima SMS
Nah, memajukan SMS ke Mac ke telefon juga menambahkan Mac (atau lebih banyak Mac dan iPad yang telah saya gandingkan) sebagai alternatif, tetapi ia masih 2FA. Atau tidak?
Sekali lagi - dalam keadaan biasa, 2FA menyelesaikan situasi seperti "Mac saya digodam dan saya tidak tahu mengenainya". Oleh itu, anda boleh menganggap bahawa Mac mengetahui kata laluan anda untuk perkhidmatan tersebut (bahawa anda sudah menyimpannya atau akan mendengarnya apabila anda melog masuk ke perkhidmatan tersebut). Dan kini anda boleh menjangkakan bahawa dia juga akan mengetahui SMS (atau dia boleh memintanya pada bila-bila masa dan dia akan menerimanya).
Kebanyakan perkhidmatan yang menawarkan pengesahan dua faktor (Facebook, Dropbox, Google, Microsoft, …) membenarkan kata laluan sekali dijana menggunakan aplikasi (saya menggunakan Google Authenticator). Aplikasi ini sentiasa menjana kod terhad masa untuk perkhidmatan berdaftar. Kod tersebut boleh disalin serta-merta dan digunakan untuk log masuk. Anda tidak perlu menunggu SMS tiba dan, jika ia dimajukan ke Mac, selesaikan masalah yang diterangkan dalam artikel.
Mac yang terjejas mempunyai mesej SMS semasa log masuk...
Jangan ragu untuk bertanya untuk itu. Jika saya telah menghidupkan pengesahan dua fasa dengan penjanaan kod sekali menggunakan aplikasi, maka perkhidmatan yang diberikan tidak menghantar sebarang SMS.
Jika sesuatu tidak berubah, banyak perkhidmatan menginginkan telefon dan meninggalkan SMS sebagai pilihan lalai. Jadi komputer anda yang digodam kembali.
Dengan jumlah bank yang banyak, tiada pilihan, hanya SMS dan itu sahaja.
Saya tidak faham ini dengan jelas. Jika seseorang mencuri Mac saya, saya mematikan SMS, memadam Mac dari jauh dan menukar kata laluan di bank. Atau apa tangkapannya?
Adakah anda akan melakukannya sebelum membaca artikel ini?
Sudah tentu, secara automatik.
Tetapi pengesahan dua fasa adalah mengenai fakta bahawa penyerang memerlukan dua pengesahan: KATA LALUAN DAN SMS. Ini bermakna jika saya takut seseorang akan mengambil Mac pasangan saya, saya tidak menyimpan kata laluan di sana dan jika seseorang menggodam penyemak imbas saya, mereka tidak akan masuk ke iMessage.
Di manakah anda mendapat jaminan bahawa ia tidak akan keluar dari penyemak imbas anda? Menurut keputusan semasa Pwn4Fun dan Pwn2Own, nampaknya terdapat sekurang-kurangnya dua hari sifar untuk Safari:
"Di Pwn4Fun, Google menyampaikan eksploitasi yang sangat mengagumkan terhadap Apple Safari melancarkan Kalkulator sebagai root pada Mac OS X"
"Oleh Liang Chen dari Pasukan Keen:
Terhadap Apple Safari, limpahan timbunan bersama-sama dengan pintasan kotak pasir, mengakibatkan pelaksanaan kod."
Huruf putih nipis pada latar belakang hijau - walaupun seorang murid sekolah khas tidak boleh mencadangkannya dengan lebih baik...
Salah satu cara untuk menghentikan ini adalah untuk menggantikan penjanaan kod melalui dongle (contohnya ini: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) ia selamat dan ia membolehkan keselamatan yang lebih tinggi, KB juga perlu melakukan sesuatu yang serupa - sijil yang dimuat naik ke cakera USB, tanpanya seseorang tidak dapat menyambung ke perbankan Internet, ditambah kadangkala kata laluan sekali dihantar ke telefon, dsb. ... Terdapat banyak kemungkinan, tetapi setiap orang mempunyai sendiri, dia perlu memutuskan sama ada keselamatan adalah penting baginya (jika dia mempunyai kata laluan atau tidak? dll.)
Unicredit mempunyai perkara yang hebat. Kunci pintar bukanlah SMS klasik, tetapi saya menjana kata laluan sekali dalam aplikasi mudah alih.
Saya memerlukan nasihat tentang mengapa saya tiba-tiba tidak dapat menghantar video pendek mm, yang mungkin sehingga sekarang? Tiada pilihan untuk hanya memasukkan video, ia tidak bertindak balas, ia tidak memasukkannya ke dalam mesej
Děkuji