Ondrej Holzman Chociaż nowe funkcje wprowadzone w OS X Yosemite i iOS 8 oferują użytkownikom wiele przydatnych funkcji, które upraszczają korzystanie z wielu urządzeń, mogą również stanowić zagrożenie dla bezpieczeństwa. Na przykład przesyłanie wiadomości tekstowych z iPhone'a na komputer Mac bardzo łatwo omija weryfikację dwuetapową podczas logowania się do różnych usług.
Bardzo ciekawy jest zestaw funkcji Continuity, w ramach których Apple łączy komputery z urządzeniami mobilnymi w najnowszych systemach operacyjnych, szczególnie pod względem sieci i technik, jakich używają do łączenia iPhone'ów i iPadów z Macami. Ciągłość obejmuje możliwość wykonywania połączeń z komputera Mac, wysyłania plików za pośrednictwem AirDrop lub szybkiego tworzenia hotspotu, ale teraz skupimy się na przekazywaniu zwykłych SMS-ów na komputery.
Ta stosunkowo niepozorna, ale bardzo przydatna funkcja może w najgorszym przypadku zamienić się w lukę w zabezpieczeniach, która pozwala atakującemu uzyskać dane do drugiej fazy weryfikacji podczas logowania do wybranych usług. Mówimy tu o tzw. logowaniu dwufazowym, które oprócz banków wprowadza już wiele serwisów internetowych i jest znacznie bezpieczniejsze, niż w przypadku posiadania konta chronionego jedynie klasycznym i pojedynczym hasłem.
Weryfikacja dwuetapowa może odbywać się na różne sposoby, jednak gdy mówimy o bankowości internetowej i innych usługach internetowych, najczęściej spotykamy się z przesłaniem na numer telefonu kodu weryfikacyjnego, który należy następnie wpisać obok wpisania zwykłego hasła. Dlatego jeśli ktoś zdobędzie Twoje hasło (lub komputer z hasłem lub certyfikatem), zazwyczaj będzie mu potrzebny telefon komórkowy np. do zalogowania się do bankowości internetowej, gdzie przyjdzie SMS z hasłem do drugiego etapu weryfikacji .
Ale w chwili, gdy wszystkie wiadomości tekstowe zostaną przekazane z iPhone'a na komputer Mac, a osoba atakująca przejmie kontrolę nad Twoim komputerem Mac, Twój iPhone nie będzie już potrzebny. Aby przesyłać dalej klasyczne wiadomości SMS, nie jest potrzebne bezpośrednie połączenie iPhone'a z komputerem Mac - nie muszą być w tej samej sieci Wi-Fi, Wi-Fi nie musi być nawet włączone, podobnie jak Bluetooth, i wystarczy podłączyć oba urządzenia do Internetu. Usługa SMS Relay, jak oficjalnie nazywa się przekazywanie wiadomości, komunikuje się za pośrednictwem protokołu iMessage.
W praktyce działa to tak, że chociaż wiadomość dociera do Ciebie jako zwykły SMS, Apple przetwarza ją jako iMessage i przesyła przez Internet do komputera Mac (tak to działało z iMessage przed pojawieniem się SMS Relay). , gdzie wyświetla go w postaci wiadomości SMS, co jest oznaczone zieloną dymką . iPhone i Mac mogą znajdować się w różnych miastach, tylko oba urządzenia wymagają połączenia z Internetem.
Możesz także uzyskać dowód, że SMS Relay nie działa przez Wi-Fi lub Bluetooth w następujący sposób: aktywuj tryb samolotowy na swoim iPhonie oraz pisz i wysyłaj SMS-y na komputerze Mac podłączonym do Internetu. Następnie odłącz komputer Mac od Internetu i odwrotnie, podłącz do niego iPhone'a (wystarczy internet mobilny). Wiadomość SMS zostaje wysłana mimo, że oba urządzenia nigdy nie komunikowały się ze sobą bezpośrednio – za wszystko dba protokół iMessage.
Dlatego korzystając z przekazywania wiadomości, należy pamiętać, że bezpieczeństwo uwierzytelniania dwuskładnikowego jest zagrożone. W przypadku kradzieży komputera natychmiastowe wyłączenie przesyłania wiadomości jest najszybszym i najłatwiejszym sposobem zapobiegania potencjalnemu włamaniu na Twoje konta.
Wejście do bankowości internetowej jest wygodniejsze, jeśli nie musisz przepisywać kodu weryfikacyjnego z wyświetlacza telefonu, a wystarczy skopiować go z Wiadomości na Macu, ale bezpieczeństwo jest w tym przypadku o wiele ważniejsze, czego bardzo brakuje ze względu na SMS Relay . Rozwiązaniem tego problemu może być np. możliwość wykluczenia określonych numerów z przekazywania na Macu, gdyż kody SMS zazwyczaj pochodzą z tych samych numerów.
Jak wspomniano w ostatnim akapicie - możliwość skopiowania kodu jest znacznie wygodniejsza i lepsza.
Dodatkowo – jeśli ktoś ukradnie mojego MacBooka, pierwszą rzeczą, którą robię, to go blokuję i wyłączam wszelkie „przekazywanie” oraz Ciągłość w iPhonie – dlatego też w Ustawieniach/Wiadomościach jest też taka opcja. :)
A jeśli ktoś cię zaczepi, czy też to zaprzestaniesz?
I po co dwuetapowa autoryzacja, skoro możesz od razu zablokować skradzione urządzenie, co?
Weryfikacja dwuetapowa jest usługą zewnętrzną, więc trudno mi z niej nie skorzystać lub ją zignorować, przynajmniej w przypadku banków. Blokuję lub usuwam mojego Maca za pomocą funkcji Znajdź mój Mac. Korzyści z przesyłania SMS-ów przeważają, jeśli nie widzę diabła za wszystkim.
Nikt nie przejmuje się kradzieżą, pełne szyfrowanie dysku rozwiązuje ten problem. Ale co zrobisz ze zhakowanym komputerem? Pewnie nic, nie dowiesz się o tym.
No cóż, oczywiście przeważają zalety, nikt nie widzi diabła, a użytkownik zawsze zamienia bezpieczeństwo na tańczącą świnię.
Swoją drogą, czy masz wrażenie, że banki dla zabawy zmuszają Cię do wysyłania SMS-ów?
jeśli ktoś się martwi, to nie używaj tego. Jestem z niego niezwykle zadowolony
A ci, którzy nie mają obaw w połączeniu z 2FA, nawet z niego nie korzystają, bo najwyraźniej nie wiedzą, co robią.
A jak wykluczyć konkretny numer na Macbooku i zostawić go na iPhonie? Dziękuję za odpowiedź
AFAIK najlepszą opcją jest „wyłącz przekazywanie wiadomości tekstowych w sekcji Wiadomości w Ustawieniach (z iPhone'a)”.
Jeśli się nie mylę, nie można umieścić na białej liście tego, co należy przekazać, ani na czarnej liście tego, czego nie należy.
Cóż, czy nie łatwiej jest ukraść telefon komórkowy niż komputer Mac? Tak, możesz mieć hasło do telefonu komórkowego, ale także do komputera MAC. Nie jestem ekspertem, ale chyba nie jest łatwo dostać się do Maca, jeśli nie znam hasła (nie chodzi mi o odczytanie danych, ale o zalogowanie się, żeby uruchomił się przekaźnik SMS).
Nie zapominaj też, że mówimy o podwójnym bezpieczeństwie, gdzie pierwsza faza jest najważniejsza - wprowadzenie hasła w celu honorowania, a jeśli nie masz go zapisanego na MAC lub w jakimś dokumencie tekstowym w środku, to jest brak dostępu do banku (i nie używasz 1111 jako hasła :-))
Zatem kradzież komputera Mac prawdopodobnie spowoduje największe szkody ze względu na prawdziwą cenę komputera Mac.
2FA nie rozwiązuje problemu podstawowej kradzieży komputerów Mac ani adresów IP. Rozwiązanie jest takie, że atakujący musi przejąć kontrolę nad komputerem Mac i czymś innym. Mac mu teraz wystarczy. Bo neguje wszystkie zalety 2FA.
(Zalecana jest ochrona przed wariantem „atakujący na komputerze Mac kontroluje tylko przeglądarkę”, co prawdopodobnie nie jest sytuacją całkowicie kontrolowaną.)
Tyle, że jeśli uważasz, że Mac jest całkowicie bezpieczny (haha), to nie musisz mieć do czynienia z 2FA. A jeśli nie, to 2FA przestało zapewniać zwiększone bezpieczeństwo, takie jak dysk.
I jeszcze raz bardzo obrazowo – wchodzisz na stronę „nicnebezpecneho.cz”, która jest niebezpieczna ze względu na niefortunny splot okoliczności. Może Ci się to przydarzyć dość łatwo – nie musisz od razu wchodzić na strony pornograficzne, wystarczy, że ktoś nie zabezpieczy odwiedzanego bloga i pozwoli, aby w komentarzach wstawiony był nieoczyszczony JavaScript. Na tej stronie znajduje się zdalny exploit dla Twojej przeglądarki (to może się Tobie przydarzyć, nic nadzwyczajnego). Albo daj się wciągnąć w inżynierię społeczną...
...po kilku godzinach idziesz wysłać pieniądze z banku (logujesz się do Gmaila, Githuba...). Robiąc to, wprowadzasz dane logowania do już zaatakowanego komputera (lub nawet nie musisz tego robić, jeśli masz zapisane te hasła) i jednorazowo kopiujesz i wklejasz kod z wiadomości SMS.
..a w nocy Twój komputer sam loguje się do banku (gmail...), hasło zostało już zapisane przez kogoś ze złośliwym oprogramowaniem. Nie otrzymasz SMS-a z potwierdzeniem na swój telefon komórkowy, ale... do tego skompromitowanego komputera.
2FA rozwiązało dokładnie te scenariusze. Dopóki Apple tego nie zepsuło.
Myślałem, że 2FA oznacza, że muszę się wykazać 2 rzeczami, na przykład:
- hasło
– telefonem obsługującym SMS-y
Cóż, przekazywanie wiadomości SMS na komputer Mac na telefon również dodaje komputer Mac (lub więcej komputerów Mac i iPadów, które sparowałem) jako alternatywę, ale nadal jest to 2FA. Albo nie?
Powtórzę jeszcze raz – w normalnych okolicznościach 2FA rozwiązuje sytuacje typu „mój Mac został zhakowany i o tym nie wiem”. Bo wtedy możesz założyć, że Mac zna Twoje hasło do usługi (że już je masz zapisane lub odsłuchasz przy następnym logowaniu do usługi). A teraz możesz się spodziewać, że on też będzie znał SMS-y (albo może w każdej chwili o to poprosić i otrzyma).
Większość usług oferujących uwierzytelnianie dwuskładnikowe (Facebook, Dropbox, Google, Microsoft,…) umożliwia generowanie haseł jednorazowych za pomocą aplikacji (ja używam Google Authenticator). Aplikacja na bieżąco generuje kody czasowe dla zarejestrowanych usług. Kod można od razu skopiować i wykorzystać do logowania. Nie musisz czekać, aż SMS dotrze, a jeśli zostanie przesłany na komputer Mac, rozwiąż problem opisany w artykule.
Zaatakowane komputery Mac wyświetlają wiadomości SMS podczas logowania...
Śmiało o to proszę. Jeżeli w aplikacji włączyłem weryfikację dwuetapową z generowaniem kodu jednorazowego, to dana usługa nie wysyła żadnych SMS-ów.
Jeśli coś się nie zmieniło, wiele serwisów chciało telefon i pozostawiło SMS-y jako opcję domyślną. Twój zhakowany komputer powrócił.
Przy dużej liczbie banków nie ma innego wyjścia, wystarczy SMS i tyle.
Nie rozumiem tego zbyt jasno. Jeśli ktoś ukradnie mi Maca, wyłączę SMS-y, zdalnie wyczyszczę Maca i zmienię hasło w banku. Albo gdzie jest haczyk?
Czy zrobiłbyś to przed przeczytaniem tego artykułu?
Absolutnie, całkowicie automatycznie.
Jednak uwierzytelnianie dwufazowe polega na tym, że atakujący potrzebuje dwóch potwierdzeń: HASŁA I SMS-a. Oznacza to, że jeśli boję się, że ktoś zabierze mi sparowanego Maca, nie przechowuję tam hasła, a jeśli ktoś włamie się do mojej przeglądarki, nie dostanie się do iMessage.
Skąd masz pewność, że nie wydostanie się z Twojej przeglądarki? Według aktualnych wyników Pwn4Fun i Pwn2Own wygląda na to, że dla Safari są co najmniej dwa dni zerowe:
„Na Pwn4Fun Google dostarczył imponujący exploit przeciwko Apple Safari, uruchamiając Kalkulator jako root w systemie Mac OS X”
„Liang Chen z Keen Team:
W przypadku Apple Safari przepełnienie sterty wraz z obejściem piaskownicy skutkujące wykonaniem kodu.
Cienki biały napis na zielonym tle - nawet uczeń szkoły specjalnej nie mógłby lepiej tego zasugerować...
Jednym ze sposobów, aby temu zapobiec, jest zastąpienie generowania kodu za pomocą klucza sprzętowego (na przykład to: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) jest bezpieczne i zapewnia większe bezpieczeństwo, KB też musi zrobić coś podobnego - certyfikat wgrany na dysk USB, bez którego dana osoba nie może połączyć się z bankowością internetową, plus czasami wysyłane jest jednorazowe hasło na telefon itp. ... Możliwości jest wiele, ale każdy ma swoją, ona musi zdecydować, czy bezpieczeństwo jest dla niej ważne (czy ma hasło, czy nie? itp.)
Unicredit ma świetną rzecz. Inteligentny klucz nigdy nie jest klasycznym SMS-em, ale jednorazowe hasło generuję w aplikacji mobilnej.
Potrzebuję porady, dlaczego nagle nie mogę wysłać krótkiego filmu o mm, co było możliwe do tej pory? Nie ma możliwości po prostu wstawienia filmu, nie odpowiada, nie wstawia go do wiadomości
Dziękuję