Ondrej Holzman Hoewel de nieuwe functies die zijn geïntroduceerd in OS X Yosemite en iOS 8 gebruikers veel nuttige functies bieden die het gebruik van meerdere apparaten vereenvoudigen, kunnen ze ook een beveiligingsrisico vormen. Het doorsturen van sms-berichten van een iPhone naar een Mac omzeilt bijvoorbeeld heel gemakkelijk tweestapsverificatie bij het inloggen bij verschillende diensten.
De set Continuity-functies, waarbinnen Apple computers verbindt met mobiele apparaten in de nieuwste besturingssystemen, is erg interessant, vooral als het gaat om de netwerken en technieken die ze gebruiken om iPhones en iPads met Macs te verbinden. Continuïteit omvat de mogelijkheid om te bellen vanaf een Mac, bestanden te verzenden via AirDrop of snel een hotspot te creëren, maar nu zullen we ons concentreren op het doorsturen van reguliere sms-berichten naar computers.
Deze relatief onopvallende, maar zeer nuttige functie kan in het ergste geval uitmonden in een beveiligingslek waardoor een aanvaller gegevens kan verkrijgen voor de tweede verificatiefase bij het inloggen op geselecteerde diensten. We hebben het hier over de zogenaamde tweefasige login, die naast banken al door veel internetdiensten wordt geïntroduceerd en veel veiliger is dan wanneer je een account hebt die alleen wordt beschermd door een klassiek en enkel wachtwoord.
Tweefasige verificatie kan op verschillende manieren plaatsvinden, maar als we het over online bankieren en andere internetdiensten hebben, komen we het vaakst voor dat er een verificatiecode naar uw telefoonnummer wordt gestuurd, die u vervolgens naast het invoeren van uw reguliere wachtwoord moet invoeren. Als iemand dus uw wachtwoord (of computer inclusief wachtwoord of certificaat) in handen krijgt, heeft hij of zij doorgaans uw mobiele telefoon nodig om bijvoorbeeld in te loggen op internetbankieren, waarna een sms met het wachtwoord voor de tweede verificatiefase binnenkomt. .
Maar op het moment dat u al uw sms-berichten van uw iPhone naar uw Mac laat doorsturen en een aanvaller uw Mac overneemt, heeft hij of zij uw iPhone niet meer nodig. Om klassieke sms-berichten door te sturen is er geen directe verbinding nodig tussen iPhone en Mac - ze hoeven niet op hetzelfde Wi-Fi-netwerk te zitten, Wi-Fi hoeft niet eens te zijn ingeschakeld, net als Bluetooth, en het enige dat nodig is, is om beide apparaten met internet te verbinden. De dienst SMS Relay, zoals het doorsturen van berichten officieel heet, communiceert via het iMessage-protocol.
In de praktijk werkt het zo dat, hoewel het bericht als een normaal sms-bericht bij je aankomt, Apple het verwerkt als een iMessage en het via internet naar de Mac overbrengt (zo werkte het met iMessage vóór de komst van SMS Relay) , waar het wordt weergegeven als een sms, wat wordt aangegeven door een groene bel. iPhone en Mac kunnen zich elk in een andere stad bevinden, alleen hebben beide apparaten een internetverbinding nodig.
Je kunt ook op de volgende manier bewijzen dat SMS Relay niet via Wi-Fi of Bluetooth werkt: activeer de vliegtuigmodus op je iPhone en schrijf en verzend een sms op een Mac die met internet is verbonden. Koppel vervolgens de Mac los van internet en sluit omgekeerd de iPhone erop aan (mobiel internet is voldoende). De sms wordt verzonden, ook al hebben de twee apparaten nooit rechtstreeks met elkaar gecommuniceerd - alles wordt verzekerd door het iMessage-protocol.
Wanneer u berichten doorstuurt, moet u er dus rekening mee houden dat de veiligheid van tweefactorauthenticatie in gevaar komt. In het geval dat uw computer wordt gestolen, is het onmiddellijk uitschakelen van berichten de snelste en gemakkelijkste manier om mogelijke hacking van uw accounts te voorkomen.
Het invoeren van internetbankieren is handiger als u de verificatiecode niet vanaf het display van de telefoon hoeft te herschrijven, maar deze gewoon vanuit Berichten op de Mac hoeft te kopiëren, maar veiligheid is in dit geval veel belangrijker, wat door SMS Relay enorm ontbreekt . Een oplossing voor dit probleem zou bijvoorbeeld de mogelijkheid kunnen zijn om specifieke nummers uit te sluiten van doorschakeling op Mac, aangezien de sms-codes meestal van dezelfde nummers komen.
Zoals vermeld in de laatste paragraaf: de mogelijkheid om de code te kopiëren is veel handiger en beter.
Bovendien - als iemand mijn MacBook steelt, is het eerste wat ik doe deze blokkeren en alle "doorsturen" en continuïteit op de iPhone uitschakelen - daarom is er ook deze optie in Instellingen / Berichten. :)
En als iemand je het aan de haak slaat, hou je het dan ook tegen?
En waarom tweestapsautorisatie als je het gestolen apparaat meteen kunt blokkeren, hè?
Tweestapsverificatie is een dienst van derden, dus ik kan deze nauwelijks niet gebruiken of negeren, althans in het geval van banken. En ik blokkeer of verwijder mijn Mac via Zoek mijn Mac. De voordelen van sms-doorsturen wegen zwaarder als ik de duivel achter alles niet zie.
Niemand geeft om diefstal, volledige schijfversleuteling lost dat op. Maar wat ga je doen met een gehackte computer? Waarschijnlijk niets, je zult er niets van weten.
Nou ja, de voordelen prevaleren natuurlijk, niemand ziet de duivel en de gebruiker ruilt veiligheid altijd in voor een dansend varken.
Heeft u trouwens de indruk dat de banken u dwingen om alleen voor de lol te sms'en?
als iemand zich zorgen maakt, gebruik het dan niet. Ik ben er enorm tevreden mee
En degenen die geen zorgen hebben in combinatie met 2FA, gebruiken het niet eens, omdat ze duidelijk niet weten wat ze doen.
En hoe sluit ik een specifiek nummer uit op de Macbook en laat het op de iPhone staan? Bedankt voor het antwoord
AFAIK de beste optie is "Schakel het doorsturen van sms-berichten uit onder Berichten in Instellingen (vanaf je iPhone)."
Als ik me niet vergis, is het niet mogelijk om op de witte lijst te zetten wat moet worden doorgestuurd, en ook niet op de zwarte lijst wat niet.
Is het niet gemakkelijker om een mobiele telefoon te stelen dan een Mac? Ja, je kunt een wachtwoord krijgen voor mobiel, maar ook voor MAC. Ik ben geen expert, maar het is waarschijnlijk niet eenvoudig om bij de Mac te komen als ik het wachtwoord niet weet (het is niet mijn bedoeling om de gegevens te lezen, maar om in te loggen zodat de sms-relay begint).
Vergeet ook niet dat we het hebben over dubbele beveiliging, waarbij de eerste fase de belangrijkste is: het invoeren van het wachtwoord om te eren en als je het niet op de MAC of in een tekstdocument hebt geschreven, dan is er geen toegang tot de bank (en je gebruikt 1111 niet als wachtwoord :-))
Het stelen van een Mac zal dus waarschijnlijk de grootste schade veroorzaken vanwege de werkelijke prijs van de Mac.
2FA lost geen primaire Mac- of IP-diefstal op. De oplossing is dat de aanvaller de controle over de Mac en iets anders moet krijgen. De Mac is nu genoeg voor hem. Coz doet alle voordelen van 2FA teniet.
(Het advies is om bescherming te bieden tegen de variant "aanvaller op Mac bestuurt alleen de browser", wat waarschijnlijk geen volledig gecontroleerde situatie is.)
Het is alleen zo dat als je Mac als volkomen veilig beschouwt (haha), je niet met 2FA te maken hebt. En zo niet, dan biedt 2FA u niet langer die verhoogde beveiliging, zoals rijden.
En nog een keer, heel levendig: je gaat naar de website "nicnebezpecneho.cz", die gevaarlijk is vanwege een ongelukkige samenloop van omstandigheden. Dit kan je vrij gemakkelijk overkomen - je hoeft niet meteen naar pornosites te gaan, het is voldoende als iemand de blog die je bezoekt niet beveiligt en onopgeschoonde javascript in de reacties laat invoegen. Er staat een externe exploit voor uw browser op die pagina (dit kan u nog steeds overkomen, niets bijzonders). Of verdiep je in social engineering...
...na een paar uur ga je geld van de bank sturen (je logt in op gmail, github...). Daarbij voert u de inloggegevens in op de reeds besmette computer (of hoeft u dat niet eens te doen als u deze wachtwoorden heeft opgeslagen) en kopieert en plakt u de code uit de sms eenmalig.
..en 's nachts logt uw computer vanzelf in bij de bank (gmail...), het wachtwoord is al opgeslagen door iemand met malware. U ontvangt geen bevestigings-sms op uw mobiele telefoon, maar... in die besmette computer.
2FA heeft precies deze scenario's opgelost. Totdat Apple het verbrak.
Ik dacht dat 2FA betekent dat ik mezelf door 2 dingen moet bewijzen, bijvoorbeeld:
– wachtwoord
– met een telefoon die SMS accepteert
Nou, bij het doorsturen van sms naar Mac naar de telefoon wordt ook de Mac (of meer Mac en iPad die ik heb gekoppeld) toegevoegd als alternatief, maar het is nog steeds 2FA. Of niet?
Nogmaals: onder normale omstandigheden lost 2FA situaties op zoals "mijn Mac is gehackt en ik weet er niets van". Want dan kun je ervan uitgaan dat de Mac jouw wachtwoord voor de dienst kent (dat je deze al hebt opgeslagen of ernaar luistert de volgende keer dat je inlogt bij de dienst). En nu kun je verwachten dat hij ook sms kent (of hij kan er op elk moment om vragen en hij ontvangt het).
Bij de meeste diensten die tweefactorauthenticatie aanbieden (Facebook, Dropbox, Google, Microsoft, …) kunnen eenmalige wachtwoorden worden gegenereerd met behulp van een app (ik gebruik Google Authenticator). De applicatie genereert voortdurend tijdgebonden codes voor geregistreerde diensten. De code kunt u direct kopiëren en gebruiken om in te loggen. U hoeft niet te wachten tot de sms arriveert en, als deze naar de Mac wordt doorgestuurd, lost u het in het artikel beschreven probleem op.
Gecompromitteerde Macs ontvangen sms-berichten bij het inloggen...
Vraag daar gerust naar. Als ik tweefasige verificatie heb ingeschakeld met het genereren van een eenmalige code met behulp van de applicatie, verzendt de betreffende dienst geen sms.
Als er iets niet is veranderd, wilden veel diensten de telefoon en lieten ze sms als standaardoptie staan. Uw gehackte computer is dus terug.
Bij een groot aantal banken is er geen keus, alleen een sms en dat is alles.
Ik begrijp dit niet zo duidelijk. Als iemand mijn Mac steelt, zet ik sms uit, wis ik de Mac op afstand en verander ik het wachtwoord bij de bank. Of wat is het addertje onder het gras?
Zou u dat doen voordat u dit artikel leest?
Absoluut, absoluut automatisch.
Maar tweefasige authenticatie gaat over het feit dat de aanvaller twee bevestigingen nodig heeft: WACHTWOORD EN SMS. Dit betekent dat als ik bang ben dat iemand mijn gekoppelde Mac meeneemt, ik het wachtwoord daar niet opsla, en als iemand mijn browser hackt, hij of zij niet in iMessage komt.
Waar krijgt u de zekerheid dat het niet uit uw browser zal breken? Volgens de huidige resultaten van Pwn4Fun en Pwn2Own lijkt het erop dat er minstens twee nuldagen zijn voor Safari:
"Bij Pwn4Fun leverde Google een zeer indrukwekkende exploit tegen Apple Safari, waarbij Calculator als root werd gelanceerd op Mac OS X"
"Door Liang Chen van het Keen-team:
Tegen Apple Safari: een heap-overflow samen met een sandbox-bypass, resulterend in code-uitvoering."
Dunne witte letters op een groene achtergrond - zelfs een leerling van een speciale school had het niet beter kunnen voorstellen...
Een van de manieren om dit te stoppen is door het genereren van code via een dongle te vervangen (bijvoorbeeld dit: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) het is veilig en het maakt een hogere beveiliging mogelijk, KB moet ook iets soortgelijks doen: een certificaat geüpload naar een USB-schijf, zonder dit certificaat kan iemand geen verbinding maken met internetbankieren, plus soms wordt er een eenmalig wachtwoord naar de telefoon gestuurd, enz. ... Er zijn veel mogelijkheden, maar iedereen heeft zijn eigen mogelijkheden. Ze moet beslissen of beveiliging belangrijk voor haar is (of ze een wachtwoord heeft of niet? enz.)
Unicredit heeft iets geweldigs. De smart key komt nooit via een klassieke sms, maar ik genereer een eenmalig wachtwoord in de mobiele applicatie.
Ik heb advies nodig over waarom ik plotseling geen mm-korte video kan sturen, wat tot nu toe mogelijk was? Er is geen optie om eenvoudigweg een video in te voegen, deze reageert niet en voegt deze niet in het bericht in
Dank u