Ондрей Хольцман Хотя новые функции, представленные в OS X Yosemite и iOS 8, предоставляют пользователям множество полезных функций, которые упрощают использование нескольких устройств, они также могут представлять угрозу безопасности. Например, пересылка текстовых сообщений с iPhone на Mac очень легко обходит двухэтапную проверку при входе в различные сервисы.
Набор функций Continuity, с помощью которых Apple соединяет компьютеры с мобильными устройствами в новейших операционных системах, очень интересен, особенно с точки зрения сетей и методов, которые они используют для подключения iPhone и iPad к Mac. Continuity включает в себя возможность совершать звонки с Mac, отправлять файлы через AirDrop или быстро создавать точку доступа, но сейчас мы сосредоточимся на пересылке обычных SMS на компьютеры.
Эта сравнительно незаметная, но очень полезная функция может в худшем случае обернуться дырой в безопасности, позволяющей злоумышленнику получить данные для второго этапа проверки при входе в выбранные сервисы. Речь здесь идет о так называемом двухфазном входе, который, помимо банков, уже реализован многими интернет-сервисами и гораздо более безопасен, чем если бы у вас была учетная запись, защищенная только классическим и единым паролем.
Двухфазная верификация может проходить по-разному, но когда мы говорим об онлайн-банкинге и других интернет-сервисах, чаще всего мы сталкиваемся с отправкой на ваш номер телефона проверочного кода, который затем необходимо ввести рядом с вводом обычного пароля. Поэтому, если кто-то завладеет вашим паролем (или компьютером, включая пароль или сертификат), ему обычно понадобится ваш мобильный телефон, например, для входа в интернет-банкинг, куда придет SMS с паролем для второго этапа проверки. .
Но как только все ваши текстовые сообщения будут перенаправлены с вашего iPhone на ваш Mac, и злоумышленник захватит ваш Mac, ваш iPhone ему больше не понадобится. Для пересылки классических SMS-сообщений не требуется прямого соединения между iPhone и Mac — они не обязательно должны находиться в одной сети Wi-Fi, Wi-Fi даже не обязательно включать, как и Bluetooth, и все, что нужно, это подключить оба устройства к Интернету. Служба SMS Relay, как официально называется пересылка сообщений, осуществляет связь по протоколу iMessage.
На практике это работает так: хотя сообщение приходит к вам как обычное SMS, Apple обрабатывает его как iMessage и передает через Интернет на Mac (именно так это работало с iMessage до появления SMS Relay). , где он отображает его в виде SMS, которое обозначается зеленым пузырем. iPhone и Mac могут находиться в разных городах, только обоим устройствам необходимо подключение к Интернету.
Вы также можете получить доказательство того, что SMS Relay не работает через Wi-Fi или Bluetooth, следующим способом: активируйте режим полета на своем iPhone и напишите и отправьте SMS на Mac, подключенном к Интернету. Затем отключите Mac от Интернета и, наоборот, подключите к нему iPhone (достаточно мобильного Интернета). SMS отправляется, хотя два устройства никогда напрямую не обменивались данными друг с другом — все обеспечивается протоколом iMessage.
Таким образом, при использовании пересылки сообщений необходимо учитывать, что безопасность двухфакторной аутентификации оказывается под угрозой. В случае кражи вашего компьютера немедленное отключение обмена сообщениями — это самый быстрый и простой способ предотвратить потенциальный взлом ваших учетных записей.
Заходить в интернет-банк удобнее, если не переписывать проверочный код с дисплея телефона, а просто скопировать его из «Сообщений» на Mac, но гораздо важнее в этом случае безопасность, которой сильно не хватает из-за SMS Relay. . Решением этой проблемы могла бы стать, например, возможность исключить определенные номера из переадресации на Mac, поскольку коды СМС обычно приходят с одних и тех же номеров.
Как говорилось в последнем пункте — возможность копирования кода гораздо удобнее и лучше.
Кроме того - если кто-то украдет мой MacBook, я первым делом заблокирую его и отключу все "переадресацию" и "Непрерывность" на iPhone - поэтому в Настройках/Сообщениях тоже есть эта опция. :)
А если к тебе кто-то подцепит, ты тоже прекратишь?
И зачем двухэтапная авторизация, если можно сразу заблокировать украденное устройство, а?
Двухэтапная верификация — это сторонняя услуга, поэтому я вряд ли смогу ею не воспользоваться или игнорировать, по крайней мере, в случае с банками. И я блокирую или удаляю свой Mac через «Найти свой Mac». Преимущества пересылки SMS перевешивают, если я не вижу за всем дьявола.
Никто не заботится о краже: полное шифрование диска решает эту проблему. Но что вы собираетесь делать со взломанным компьютером? Наверное, ничего, вы об этом не узнаете.
Ну, конечно, преимущества преобладают, никто не видит дьявола и пользователь всегда меняет безопасность на танцующую свинью.
Кстати, у вас нет впечатления, что банки заставляют вас отправлять СМС просто так?
если кто-то обеспокоен, не используйте его. Я очень доволен этим
А те, у кого нет опасений в сочетании с 2FA, даже не используют его, потому что явно не знают, что делают.
А как мне исключить конкретный номер на Макбуке и оставить его на Айфоне? Спасибо за ответ
AFAIK, лучший вариант — «отключить пересылку текстовых сообщений в разделе «Сообщения» в настройках (с вашего iPhone)».
Если я не ошибаюсь, невозможно внести в белый список то, что следует пересылать, и занести в черный список то, что нельзя.
Ну, не проще ли украсть сотовый телефон, чем Mac? Да, у вас может быть пароль для мобильного телефона, но также и для MAC. Я не специалист, но, наверное, непросто попасть на Мак, если я не знаю пароля (я имею в виду не чтение данных, а вход в систему, чтобы запустилась ретрансляция СМС).
Также не забывайте, что речь идет о двойной безопасности, где первый этап является основным - ввод пароля для чести, и если у вас он не написан на MAC или в каком-то текстовом документе внутри, то есть нет доступа к банку (и вы не используете 1111 в качестве пароля :-))
Таким образом, реальная цена Mac, вероятно, будет самым большим вредом, причиненным вам в результате кражи Mac.
2FA не решает проблему первичной кражи Mac или IP. Решение состоит в том, что злоумышленник должен получить контроль над Mac и чем-то еще. Теперь ему достаточно Mac. Coz сводит на нет все преимущества 2FA.
(Совет состоит в том, чтобы защититься от варианта «злоумышленник на Mac контролирует только браузер», который, вероятно, не является полностью контролируемой ситуацией.)
Просто если вы считаете Mac полностью безопасным (ха-ха), то вам не обязательно иметь дело с 2FA. А если нет, то 2FA перестала приносить вам такую повышенную безопасность, как драйв.
И еще раз, очень наглядно – вы заходите на сайт «nicnebezpecneho.cz», который по неудачному стечению обстоятельств опасен. Это может случиться с вами довольно легко – не обязательно сразу заходить на порносайты, достаточно, чтобы кто-то не защитил посещаемый вами блог и позволил вставить в комментарии неочищенный яваскрипт. На этой странице есть удаленный эксплойт для вашего браузера (это все еще может случиться с вами, ничего особенного). Или заняться социальной инженерией...
...через несколько часов вы отправляете деньги из банка (заходите в gmail, github...). При этом вы вводите данные для входа в уже скомпрометированный компьютер (или даже не обязаны этого делать, если эти пароли у вас сохранены) и один раз копируете и вставляете код из СМС.
..а ночью ваш компьютер сам заходит в банк (gmail...) пароль уже сохранен кем-то с вредоносным ПО. Вы не получите подтверждающее SMS на свой мобильный телефон, но... в этот взломанный компьютер.
2FA решила именно эти сценарии. Пока Apple не сломала это.
Я думал, что 2FA означает, что мне нужно проявить себя двумя вещами, например:
- пароль
– с телефоном, который принимает СМС
Что ж, пересылка SMS на Mac на телефон также добавляет Mac (или несколько Mac и iPad, которые я соединил) в качестве альтернативы, но это по-прежнему 2FA. Или нет?
Еще раз: в обычных обстоятельствах 2FA решает ситуации типа «мой Mac взломан, и я об этом не знаю». Потому что тогда вы можете предположить, что Mac знает ваш пароль для сервиса (что он у вас уже сохранен или вы прослушаете его при следующем входе в сервис). И теперь можно рассчитывать, что он тоже будет знать СМС (или может в любой момент попросить и он его получит).
Большинство сервисов, предлагающих двухфакторную аутентификацию (Facebook, Dropbox, Google, Microsoft и т. д.), позволяют генерировать одноразовые пароли с помощью приложения (я использую Google Authenticator). Приложение постоянно генерирует ограниченные по времени коды для зарегистрированных услуг. Код можно сразу скопировать и использовать для входа. Вам не придется ждать прихода СМС и, если они будут перенаправлены на Mac, решите проблему, описанную в статье.
На взломанных компьютерах Mac при входе в систему появляются SMS-сообщения...
Не стесняйтесь спрашивать об этом. Если я включил двухфазную верификацию с генерацией одноразового кода с помощью приложения, то данный сервис не отправляет никаких СМС.
Если что-то не изменилось, многие сервисы захотели телефон и оставили СМС опцией по умолчанию. Итак, ваш взломанный компьютер вернулся.
При большом количестве банков выбора нет, просто СМС и все.
Я не очень ясно это понимаю. Если кто-то украдет мой Mac, я отключу СМС, удаленно стираю Mac и меняю пароль в банке. Или в чем подвох?
Сделали бы вы это до прочтения этой статьи?
Абсолютно, абсолютно автоматически.
А вот двухфазная аутентификация заключается в том, что злоумышленнику необходимо два подтверждения: ПАРОЛЬ И СМС. Это значит, что если я боюсь, что кто-то заберет мой парный Mac, я не храню там пароль, и если кто-то взломает мой браузер, он не попадет в iMessage.
Откуда вы можете получить гарантию, что он не выйдет из вашего браузера? По текущим результатам Pwn4Fun и Pwn2Own, похоже, для Safari есть как минимум два нулевых дня:
«На Pwn4Fun Google продемонстрировал очень впечатляющий эксплойт против Apple Safari, запускавшего калькулятор с правами root в Mac OS X»
«Лян Чен из Keen Team:
В случае с Apple Safari — переполнение кучи и обход песочницы, что приводит к выполнению кода».
Тонкие белые буквы на зеленом фоне - лучше этого не смог бы предложить даже ученик спецшколы...
Один из способов остановить это — заменить генерацию кода через ключ (например, так: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) это безопасно и обеспечивает более высокую безопасность, КБ тоже нужно делать что-то подобное - закачивать сертификат на USB-диск, без которого человек не может подключиться к интернет-банкингу, плюс иногда на телефон высылается одноразовый пароль и т.д. ...Возможностей много, но у каждого они свои, ей самой решать, важна ли для нее безопасность (есть ли у нее пароль или нет? и т. д.)
У Unicredit есть замечательная вещь. Смарт-ключ никогда не бывает классической СМС, но я генерирую одноразовый пароль в мобильном приложении.
Мне нужен совет, почему я вдруг не могу отправить короткое мм видео, что было возможно до сих пор? Нет возможности просто вставить видео, не отвечает, в сообщение не вставляет
Спасибо