Ondrej Holzman Och wann déi nei Fonctiounen, déi am OS X Yosemite an iOS 8 agefouert goufen, vill nëtzlech Feature fir Benotzer bréngen, déi d'Benotzung vu verschidde Geräter vereinfachen, kënnen se och eng Sécherheetsbedrohung stellen. Zum Beispill, d'Forwarding vun SMSen vun engem iPhone op e Mac ganz einfach ëmgoen zwee-Schrëtt Verifizéierung wann Dir op verschidde Servicer umellt.
De Set vu Kontinuitéitsfunktiounen, an deenen Apple Computere mat mobilen Apparater an de leschte Betribssystemer verbënnt, ass ganz interessant, besonnesch wat d'Netzwierker an d'Techniken ugeet, déi se benotze fir iPhones an iPads mat Macs ze verbannen. D'Kontinuitéit beinhalt d'Fähigkeit fir Uriff vun engem Mac ze maachen, Dateien iwwer AirDrop ze schécken oder séier en Hotspot ze kreéieren, awer elo konzentréiere mir eis op reegelméisseg SMSen op Computeren ze schécken.
Dës relativ onopfälleg, awer ganz nëtzlech Funktioun kann am schlëmmste Fall an e Sécherheetsloch ëmwandelen, deen en Ugräifer erlaabt Donnéeën fir déi zweet Verifizéierungsphase beim Aloggen op ausgewielte Servicer ze kréien. Mir schwätzen hei iwwer de sougenannte Zwee-Phase Login, deen nieft de Banken scho vu villen Internetservicer agefouert gëtt a vill méi sécher ass wéi wann Dir e Kont hutt, dee just mat engem klassesche an eenzege Passwuert geschützt ass.
Zwee-Phase Verifizéierung kann op verschidde Manéiere stattfannen, awer wa mir iwwer Online Banking an aner Internetservicer schwätzen, stéiere mir am meeschten datt Dir e Verifikatiounscode op Är Telefonsnummer geschéckt hutt, deen Dir dann nieft Ärem normale Passwuert aginn musst. Dofir, wann iergendeen Äert Passwuert (oder Computer mat Passwuert oder Zertifikat) kritt, brauch se normalerweis Ären Handy, zum Beispill, fir op d'Internetbanking aloggen, wou eng SMS mam Passwuert fir déi zweet Phas vun der Verifizéierung kënnt .
Awer de Moment wou Dir all Är SMSen vun Ärem iPhone op Äre Mac weidergeleet hutt an en Ugräifer Äre Mac iwwerhëlt, brauche se Ären iPhone net méi. Fir klassesch SMS Messagen weiderzebréngen, ass keng direkt Verbindung tëscht iPhone a Mac néideg - se mussen net um selwechte Wi-Fi Netzwierk sinn, Wi-Fi muss net emol ageschalt ginn, sou wéi Bluetooth, an alles wat gebraucht gëtt ass béid Apparater mam Internet ze verbannen. Den SMS Relais Service, wéi d'Forwarding vun de Messagen offiziell genannt gëtt, kommunizéiert iwwer den iMessage Protokoll.
An der Praxis ass d'Aart a Weis wéi et funktionnéiert datt obwuel de Message als normal SMS bei Iech ukommt, Apple et als iMessage veraarbecht an iwwer den Internet op de Mac transferéiert (dëst ass wéi et mat iMessage geschafft huet virum Opkomme vum SMS Relais) , wou et als SMS weist, wat mat enger grénger Bubble ugewise gëtt. iPhone a Mac kënnen all an enger anerer Stad sinn, nëmme béid Apparater brauchen eng Internetverbindung.
Dir kënnt och Beweis kréien datt SMS Relais net iwwer Wi-Fi oder Bluetooth funktionnéiert op déi folgend Manéier: Aktivéiert de Fligermodus op Ärem iPhone a schreift a schéckt eng SMS op engem Mac verbonne mam Internet. Dann trennt de Mac vum Internet an, ëmgekéiert, verbënnt den iPhone mat him (mobil Internet ass genuch). D'SMS gëtt geschéckt och wann déi zwee Apparater ni direkt matenee kommunizéiert hunn - alles ass duerch den iMessage Protokoll gesuergt.
Also, wann Dir Message Forwarding benotzt, ass et néideg am Kapp ze halen datt d'Sécherheet vun der Zwee-Faktor Authentifikatioun kompromittéiert ass. Am Fall wou Äre Computer geklaut gëtt, ass d'Message direkt auszeschalten de schnellsten an einfachste Wee fir potenziell Hacking vun Äre Konten ze vermeiden.
D'Internetbanking anzeginn ass méi bequem wann Dir de Verifizéierungscode vum Telefonsdisplay net iwwerschreiwe musst, awer just aus Messagen um Mac kopéieren, awer d'Sécherheet ass vill méi wichteg an dësem Fall, wat vill fehlt wéinst SMS Relais . Eng Léisung fir dëse Problem kéint zum Beispill d'Méiglechkeet sinn, spezifesch Zuelen auszeschléissen vum Forward op Mac, well d'SMS-Coden normalerweis aus deene selwechten Zuelen kommen.
Wéi am leschte Paragraph ernimmt - d'Fäegkeet de Code ze kopéieren ass vill méi praktesch a besser.
Zousätzlech - wann iergendeen mäi MacBook klaut, dat éischt wat ech maachen ass et blockéieren an all "Forwarding" a Kontinuitéit um iPhone ausschalten - dofir gëtt et och dës Optioun an Astellungen / Messagen. :)
A wann een et Iech häkt, stoppt Dir et och?
A firwat hunn zwee-Schrëtt Autorisatioun wann Dir de geklauten Apparat direkt Spär kann, hu?
Zwee-Schrëtt Verifizéierung ass en Drëtt Partei Service, also kann ech et kaum net benotzen oder ignoréieren, op d'mannst am Fall vu Banken. An ech blockéieren oder läschen mäi Mac via Find my Mac. D'Virdeeler vum SMS-Forwarding sinn méi grouss wann ech den Däiwel net hannert alles gesinn.
Keen këmmert sech ëm Déifstall, voll Scheifverschlësselung léist dat. Awer wat maacht Dir mat engem gehackte Computer? Wahrscheinlech näischt, Dir wäert net doriwwer wëssen.
Gutt, natierlech, d'Virdeeler herrschen, keen gesäit den Däiwel an de Benotzer ruilt ëmmer Sécherheet fir en danzende Schwäin.
Hutt Dir iwwregens d'Impressioun datt d'Banken Iech forcéieren SMSen nëmme fir Spaass ze schécken?
wann iergendeen besuergt ass dann benotzen se net. Ech sinn extrem zefridden domat
An déi, déi a Kombinatioun mat 2FA keng Suergen hunn, benotzen se och net, well se selbstverständlech net wëssen wat se maachen.
A wéi ausgeschloss ech eng spezifesch Nummer um Macbook a léisst se um iPhone? Merci fir d'Äntwert
AFAIK déi bescht Optioun ass "Text Messagen Forwarding ënner Messagen an Astellungen ausschalten (vun Ärem iPhone)."
Wann ech mech net falsch maachen, ass et net méiglech ze Whitelist wat soll weidergeleet ginn, an och net Blacklist wat net.
Gutt, ass et net méi einfach en Handy ze klauen wéi e Mac? Jo, Dir kënnt e Passwuert fir Handy hunn, awer och fir MAC. Ech sinn keen Expert, mee et ass wuel net einfach op de Mac ze kommen, wann ech d'Passwuert net kennen (ech mengen net d'Donnéeën ze liesen, mee aloggen fir datt den SMS-Relais ufänkt).
Vergiesst och net datt mir iwwer duebel Sécherheet schwätzen, wou déi éischt Phas d'Haapt ass - d'Passwuert anzeginn fir ze honoréieren a wann Dir et net um MAC oder an engem Textdokument bannen geschriwwen hutt, da gëtt et keen Zougang zu der Bank (an Dir benotzt net 1111 als Passwuert :-))
Also, e Mac ze klauen wäert Iech wahrscheinlech de gréisste Schued verursaachen wéinst dem richtege Präis vum Mac.
2FA léist net primär Mac oder IP Déifstall. D'Léisung ass datt den Ugräifer d'Kontroll iwwer de Mac an soss eppes muss kréien. De Mac geet him elo duer. Coz negéiert all d'Virdeeler vun 2FA.
(De Rot ass ze schützen géint den "Attacker op Mac kontrolléiert nëmmen de Browser" Variant, wat wahrscheinlech net eng komplett kontrolléiert Situatioun ass.)
Et ass just datt wann Dir de Mac als ganz sécher betruecht (haha), da musst Dir net mat 2FA ze dinn hunn. A wann net, dann huet 2FA opgehalen Iech déi verstäerkte Sécherheet ze bréngen, wéi Drive.
An nach eng Kéier, ganz lieweg - Dir gitt op d'Websäit "nicnebezpecneho.cz", wat geféierlech ass wéinst engem onglécklechen Ëmstänn. Dëst ka mat Iech ganz einfach geschéien - Dir musst net direkt op Porno-Säiten goen, et ass genuch fir een de Blog deen Dir besicht net ze sécheren an onsanitéiert Javascript an d'Kommentaren ze setzen. Et gëtt e Fernexploitatioun fir Äre Browser op där Säit (dëst kann Iech nach ëmmer geschéien, näischt ganz ongewéinlech). Oder loosst Iech an de sozialen Ingenieuren erfaassen ...
...no e puer Stonnen gitt Dir Sue vun der Bank schécken (Dir loggt Iech op gmail, github ...). Dobäi gitt Dir d'Logindaten an de scho kompromittéierte Computer an (oder Dir musst dat net emol maachen wann Dir dës Passwierder gespäichert hutt) a kopéiert a paste de Code vun der SMS eng Kéier.
..an an der Nuecht loggt Äre Computer sech selwer an d'Bank (gmail...) un, d'Passwuert gouf scho vun engem mat Malware gespäichert. Dir kritt keng Bestätegungs-SMS op Ärem Handy, awer ... an dee kompromittéierte Computer.
2FA huet genau dës Szenarie geléist. Bis Apple et gebrach huet.
Ech hu geduecht datt 2FA bedeit datt ech mech mat 2 Saachen muss beweisen, zum Beispill:
- Passwuert
- mat engem Telefon deen SMS akzeptéiert
Gutt, SMSen op Mac op den Telefon weiderginn füügt och de Mac (oder méi Mac an iPad déi ech gepaart hunn) als Alternativ, awer et ass ëmmer nach 2FA. Oder nët?
Nach eng Kéier - ënner normalen Ëmstänn léist 2FA Situatiounen wéi "meng Mac ass gehackt an ech weess et net". Well da kënnt Dir dovun ausgoen, datt de Mac Äert Passwuert fir de Service weess (datt Dir et scho gespäichert hutt oder d'nächst Kéier wann Dir Iech op de Service aloggen lauschtert). An elo kënnt Dir erwaarden datt hien och SMS kennt (oder hien kann et zu all Moment froen an hien kritt et).
Déi meescht Servicer, déi Zwee-Faktor Authentifikatioun ubidden (Facebook, Dropbox, Google, Microsoft, ...) erlaben eng Kéier Passwierder mat enger App ze generéieren (ech benotzen Google Authenticator). D'Applikatioun generéiert konstant Zäitbegrenzte Coden fir registréiert Servicer. De Code kann direkt kopéiert a benotzt ginn fir aloggen. Dir musst net waarden bis d'SMS ukomm ass a wann se op de Mac weidergeleet ginn, léist de Problem am Artikel beschriwwen.
Kompromittéiert Macs hunn SMS Messagen beim Umelden ...
Fillt Iech dat ze froen. Wann ech zwee-Phase Verifizéierung mat der Generatioun vun engem eemolege Code mat der Applikatioun aktivéiert hunn, da schéckt de gegebene Service keng SMS.
Wann eppes net geännert huet, wollte vill Servicer den Telefon an hunn SMS als Standardoptioun verlooss. Also ass Ären gehackte Computer zréck.
Bei enger grousser Zuel vu Banken gëtt et kee Choix, just eng SMS an dat ass et.
Ech verstinn dat net ganz kloer. Wann iergendeen mäi Mac klaut, schalten ech SMS aus, wëschen de Mac op afstand an änneren d'Passwuert op der Bank. Oder wat ass de Fang?
Géif Dir dat maachen ier Dir dësen Artikel liest?
Absolut, absolut automatesch.
Awer zwee-Phas Authentifikatioun ass iwwer d'Tatsaach datt den Ugräifer zwou Bestätegunge brauch: PASSWORD AN SMS. Dëst bedeit datt wann ech Angscht hunn datt iergendeen mäi gepaart Mac hëlt, ech späicheren d'Passwuert net do, a wann een mäi Browser hackt, da kommen se net an iMessage.
Wou kritt Dir d'Versécherung datt et net aus Ärem Browser brécht? Laut den aktuellen Resultater vu Pwn4Fun a Pwn2Own, gesäit et aus wéi wann et op d'mannst zwee Null Deeg fir Safari sinn:
"Bei Pwn4Fun huet Google e ganz beandrockende Exploit géint Apple Safari lancéiert Rechner als Root op Mac OS X geliwwert."
Vum Liang Chen vum Keen Team:
Géint Apple Safari, e Koup Iwwerfloss zesumme mat engem Sandbox Contournement, wat zu Code Ausféierung resultéiert."
Dënn wäiss Buschtawen op engem gréngen Hannergrond - net emol e Schüler aus enger Spezialschoul hätt et besser virgeschloen...
Ee vun de Weeër fir dëst ze stoppen ass d'Codegeneratioun iwwer en Dongle ze ersetzen (zum Beispill dëst: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) et ass sécher an et erméiglecht eng méi héich Sécherheet, KB muss och eppes ähnleches maachen - e Certificat deen op en USB-Disk eropgeluede gëtt, ouni deen eng Persoun net mat Internetbanking konnektéiere kann, plus heiansdo gëtt en eemolegt Passwuert un den Telefon geschéckt, etc. ... Et gi vill Méiglechkeeten, awer jidderee huet säin eegent, hatt muss entscheeden ob d'Sécherheet fir hatt wichteg ass (op hatt e Passwuert huet oder net? etc.)
Unicredit huet eng super Saach. De Smart Schlëssel ass ni eng klassesch SMS, mee ech generéieren eng eemoleg Passwuert an der mobiler Applikatioun.
Ech brauch Rotschléi firwat ech op eemol net e mm kuerz Video schécken kann, wat bis elo méiglech war? Et gëtt keng Optioun fir einfach e Video anzeginn, et reagéiert net, et setzt en net an de Message
Merci