Ondrej Holzman Tot i que les noves funcions introduïdes a OS X Yosemite i iOS 8 aporten moltes funcions útils als usuaris que simplifiquen l'ús de diversos dispositius, també poden suposar una amenaça per a la seguretat. Per exemple, reenviar missatges de text des d'un iPhone a un Mac evita fàcilment la verificació en dos passos quan s'inicia la sessió a diversos serveis.
El conjunt de funcions de Continuïtat, dins del qual Apple connecta ordinadors amb dispositius mòbils en els últims sistemes operatius, és molt interessant, sobretot pel que fa a les xarxes i tècniques que utilitzen per connectar iPhones i iPads als Mac. La continuïtat inclou la possibilitat de fer trucades des d'un Mac, enviar fitxers mitjançant AirDrop o crear ràpidament un hotspot, però ara ens centrarem a reenviar SMS habituals a ordinadors.
Aquesta funció relativament discreta, però molt útil, pot, en el pitjor dels casos, convertir-se en un forat de seguretat que permet a un atacant obtenir dades per a la segona fase de verificació en iniciar sessió als serveis seleccionats. Estem parlant aquí de l'anomenat inici de sessió en dues fases, que, a més dels bancs, ja s'està introduint per molts serveis d'internet i és molt més segur que si tens un compte protegit només amb una contrasenya clàssica i única.
La verificació en dues fases es pot dur a terme de diferents maneres, però quan parlem de banca en línia i altres serveis d'Internet, sovint ens trobem amb l'enviament d'un codi de verificació al vostre número de telèfon, que haureu d'introduir al costat d'introduir la contrasenya habitual. Per tant, si algú aconsegueix la teva contrasenya (o ordinador inclòs contrasenya o certificat), normalment necessitarà el teu telèfon mòbil, per exemple, per iniciar sessió a la banca per Internet, on arribarà un SMS amb la contrasenya per a la segona fase de verificació. .
Però en el moment en què teniu tots els vostres missatges de text reenviats des del vostre iPhone al vostre Mac i un atacant es fa càrrec del vostre Mac, ja no necessiten el vostre iPhone. Per reenviar missatges SMS clàssics, no cal connexió directa entre l'iPhone i el Mac: no cal que estiguin a la mateixa xarxa Wi-Fi, ni tan sols cal que estiguin activats, igual que Bluetooth, i tot el que es necessita és connectar els dos dispositius a Internet. El servei SMS Relay, com s'anomena oficialment el reenviament de missatges, es comunica mitjançant el protocol iMessage.
A la pràctica, la manera de funcionar és que tot i que el missatge us arriba com un SMS normal, Apple el processa com un iMessage i el transfereix per Internet al Mac (així funcionava amb iMessage abans de l'arribada de SMS Relay) , on el mostra com a SMS, que s'indica amb una bombolla verda . L'iPhone i el Mac poden estar en una ciutat diferent, només els dos dispositius necessiten connexió a Internet.
També podeu obtenir proves que SMS Relay no funciona mitjançant Wi-Fi o Bluetooth de la següent manera: activeu el mode avió al vostre iPhone i escriviu i envieu un SMS en un Mac connectat a Internet. A continuació, desconnecteu el Mac d'Internet i, a la inversa, connecteu-hi l'iPhone (n'hi ha prou amb internet mòbil). L'SMS s'envia tot i que els dos dispositius mai no s'han comunicat directament entre ells; tot està garantit pel protocol iMessage.
Per tant, quan s'utilitza el reenviament de missatges, cal tenir en compte que la seguretat de l'autenticació de dos factors està compromesa. En cas que us roben l'ordinador, desactivar la missatgeria immediatament és la manera més ràpida i senzilla d'evitar possibles pirateria dels vostres comptes.
Entrar a la banca per Internet és més convenient si no cal reescriure el codi de verificació des de la pantalla del telèfon, sinó que només cal copiar-lo des de Missatges al Mac, però la seguretat és molt més important en aquest cas, que falta molt a causa de SMS Relay. . Una solució a aquest problema podria ser, per exemple, la possibilitat d'excloure números concrets del reenviament a Mac, ja que els codis SMS solen venir dels mateixos números.
Com s'ha esmentat a l'últim paràgraf, la possibilitat de copiar el codi és molt més convenient i millor.
A més -si algú em roba el MacBook, el primer que faig és bloquejar-lo i desactivar tots els "reenviaments" i Continuïtat a l'iPhone-, per això també hi ha aquesta opció a Configuració / Missatges. :)
I si algú t'ho enganxa, tu també l'aturas?
I per què tenir una autorització en dos passos quan pots bloquejar el dispositiu robat immediatament, eh?
La verificació en dos passos és un servei de tercers, per la qual cosa difícilment puc no utilitzar-la o ignorar-la, almenys en el cas dels bancs. I bloquejo o suprimeixo el meu Mac mitjançant Troba el meu Mac. Els avantatges del reenviament d'SMS superen si no veig el diable darrere de tot.
A ningú li importa el robatori, el xifratge complet del disc ho soluciona. Però què faràs amb un ordinador piratejat? Probablement res, no ho sabràs.
Bé, és clar, els avantatges prevalen, ningú veu el diable i l'usuari sempre canvia la seguretat per un porc ballari.
Per cert, tens la impressió que els bancs t'obliguen a enviar SMS només per diversió?
si algú està preocupat, no l'utilitzi. N'estic extremadament satisfet
I els que no tenen preocupacions en combinació amb 2FA ni tan sols l'utilitzen, perquè òbviament no saben què estan fent.
I com puc excloure un número específic al Macbook i el deixo a l'iPhone? Gràcies per la resposta
AFAIK la millor opció és "desactivar el reenviament de missatges de text a Missatges a Configuració (des del vostre iPhone)".
Si no m'equivoco, no és possible posar a la llista blanca allò que s'ha de reenviar, ni a la llista negra allò que no.
Bé, no és més fàcil robar un mòbil que un Mac? Sí, pots tenir una contrasenya per al mòbil, però també per a MAC. No sóc un expert, però probablement no és fàcil arribar al Mac si no conec la contrasenya (no em refereixo a llegir les dades, sinó a iniciar sessió perquè s'iniciï el relé SMS).
A més, no oblideu que estem parlant de doble seguretat, on la primera fase és la principal: introduir la contrasenya d'honor i si no la teniu escrita al MAC o en algun document de text dins, llavors hi ha sense accés al banc (i no utilitzeu 1111 com a contrasenya :-))
Per tant, robar un mac probablement us causarà el dany més gran a causa del preu real del mac.
2FA no resol el robatori d'IP ni de Mac primari. La solució és que l'atacant ha d'aconseguir el control del Mac i una altra cosa. El Mac és suficient per a ell ara. Perquè nega tots els avantatges de 2FA.
(El consell és protegir-se de la variant "l'atacant a Mac només controla el navegador", que probablement no és una situació completament controlada).
És que si considereu que Mac és totalment segur (jaja), no haureu de tractar amb 2FA. I si no, aleshores 2FA va deixar d'oferir-vos aquesta seguretat augmentada, com la driv.
I una vegada més, de manera molt viva, aneu al lloc web "nicnebezpecneho.cz", que és perillós a causa d'un conjunt de circumstàncies desafortunats. Això us pot passar amb força facilitat: no heu d'anar immediatament a llocs pornogràfics, n'hi ha prou que algú no protegeixi el bloc que visiteu i permeti que s'insereixi javascript no desinfectat als comentaris. Hi ha un exploit remot per al vostre navegador en aquesta pàgina (això encara us pot passar, res molt inusual). O deixar-se atrapar en l'enginyeria social...
...després d'unes hores aneu a enviar diners des del banc (inicieu sessió a gmail, github...). En fer-ho, introduïu les dades d'inici de sessió a l'ordinador ja compromès (o ni tan sols cal que ho feu si teniu aquestes contrasenyes desades) i copieu i enganxeu el codi de l'SMS una vegada.
..i a la nit, l'ordinador inicia sessió al banc (gmail...) per si mateix, la contrasenya ja l'ha desat algú amb programari maliciós. No rebràs cap SMS de confirmació al teu mòbil, però... a aquest ordinador compromès.
2FA va resoldre exactament aquests escenaris. Fins que Apple el va trencar.
Vaig pensar que 2FA significa que he de demostrar-me amb dues coses, per exemple:
– contrasenya
– amb un telèfon que accepta SMS
Bé, reenviar SMS al Mac al telèfon també afegeix el Mac (o més Mac i iPad que he emparellat) com a alternativa, però encara és 2FA. O no?
Una vegada més, en circumstàncies normals, 2FA resol situacions com "el meu Mac està piratejat i no ho sé". Perquè llavors podeu suposar que el Mac coneix la vostra contrasenya per al servei (que ja la teniu desada o que l'escoltarà la propera vegada que inicieu sessió al servei). I ara pots esperar que ell també sàpiga SMS (o pot demanar-ho en qualsevol moment i el rebrà).
La majoria de serveis que ofereixen autenticació de dos factors (Facebook, Dropbox, Google, Microsoft, …) permeten generar contrasenyes d'un sol ús mitjançant una aplicació (jo faig servir Google Authenticator). L'aplicació genera constantment codis de temps limitat per als serveis registrats. El codi es pot copiar immediatament i utilitzar-lo per iniciar sessió. No cal esperar que arribin els SMS i, si es reenvien al Mac, resol el problema descrit a l'article.
Els Mac compromesos tenen missatges SMS quan inicien sessió...
No dubteu a demanar-ho. Si he activat la verificació en dues fases amb la generació d'un codi únic mitjançant l'aplicació, el servei donat no envia cap SMS.
Si alguna cosa no ha canviat, molts serveis volien el telèfon i van deixar l'SMS com a opció predeterminada. Així que el vostre ordinador piratejat ha tornat.
Amb un gran nombre de bancs, no hi ha opció, només un SMS i ja està.
Això no ho entenc molt clar. Si algú em roba el Mac, desactivo els SMS, esborro el Mac de forma remota i canvio la contrasenya al banc. O quina és la trampa?
Ho faries abans de llegir aquest article?
Absolutament, absolutament automàticament.
Però l'autenticació en dues fases consisteix en el fet que l'atacant necessita dues confirmacions: CONTRANYA I SMS. Això vol dir que si tinc por que algú em porti el meu Mac emparellat, no hi emmagatzeme la contrasenya i, si algú pirateja el meu navegador, no entrarà a iMessage.
D'on treus la seguretat que no sortirà del teu navegador? Segons els resultats actuals de Pwn4Fun i Pwn2Own, sembla que hi ha almenys dos dies zero per a Safari:
"A Pwn4Fun, Google va oferir una explotació molt impressionant contra Apple Safari llançant Calculator com a root a Mac OS X"
"Per Liang Chen de Keen Team:
En contra d'Apple Safari, un desbordament de pila juntament amb un bypass sandbox, que resulta en l'execució de codi".
Lletres blanques fines sobre un fons verd: ni tan sols un alumne d'una escola especial podria haver-ho suggerit millor...
Una de les maneres d'aturar això és substituir la generació de codi mitjançant un dongle (per exemple, això: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) és segur i permet una major seguretat, KB també ha de fer alguna cosa semblant: un certificat penjat a un disc USB, sense el qual una persona no pot connectar-se a la banca per Internet, a més de vegades s'envia una contrasenya única al telèfon, etc. ... Hi ha moltes possibilitats, però cadascú té les seves ha de decidir si la seguretat és important per a ella (si té una contrasenya o no? etc.)
Unicredit té una gran cosa. La clau intel·ligent mai és un SMS clàssic, però generi una contrasenya única a l'aplicació mòbil.
Necessito consell sobre per què de sobte no puc enviar un vídeo curt en mm, que era possible fins ara? No hi ha cap opció per inserir simplement un vídeo, no respon, no l'insereix al missatge
gràcies