Ondrej Holzman Bisan kung ang mga bag-ong bahin nga gipaila sa OS X Yosemite ug iOS 8 nagdala daghang mapuslanon nga mga bahin sa mga tiggamit nga nagpayano sa paggamit sa daghang mga aparato, mahimo usab kini nga hulga sa seguridad. Pananglitan, ang pagpasa sa mga text message gikan sa usa ka iPhone ngadto sa usa ka Mac dali kaayo nga makalapas sa duha ka lakang nga pag-verify kung mag-sign in sa lainlaing mga serbisyo.
Ang set sa Continuity functions, diin ang Apple nagkonektar sa mga kompyuter sa mga mobile device sa pinakabag-o nga operating system, makaiikag kaayo, ilabi na sa mga termino sa mga network ug mga teknik nga ilang gigamit sa pagkonektar sa mga iPhone ug iPad sa mga Mac. Ang pagpadayon naglakip sa abilidad sa paghimo sa mga tawag gikan sa Mac, pagpadala sa mga file pinaagi sa AirDrop o dali nga paghimo og hotspot, apan karon mag-focus kami sa pagpasa sa regular nga SMS ngadto sa mga kompyuter.
Kini nga medyo dili makita, apan mapuslanon kaayo nga function mahimo, sa pinakagrabe nga kaso, mahimong usa ka lungag sa seguridad nga nagtugot sa usa ka tig-atake nga makakuha og datos alang sa ikaduhang hugna sa pag-verify kung mag-log in sa pinili nga mga serbisyo. Naghisgot kami dinhi bahin sa gitawag nga two-phase login, nga, dugang sa mga bangko, gipaila na sa daghang mga serbisyo sa internet ug labi ka luwas kaysa kung adunay ka usa ka account nga gipanalipdan lamang sa usa ka klasiko ug usa ka password.
Ang duha ka hugna nga pag-verify mahimo’g mahitabo sa lainlaing mga paagi, apan kung maghisgot kami bahin sa online banking ug uban pang mga serbisyo sa internet, kanunay namon nga masugatan ang pagpadala usa ka code sa pag-verify sa imong numero sa telepono, nga kinahanglan nimong isulod sunod sa pagsulod sa imong regular nga password. Busa, kung adunay makakuha sa imong password (o computer lakip ang password o sertipiko), kasagaran kinahanglan nila ang imong mobile phone, pananglitan, aron maka-log in sa internet banking, diin moabut ang usa ka SMS nga adunay password alang sa ikaduhang hugna sa pag-verify. .
Apan sa higayon nga mapasa na nimo ang tanan nimong mga text message gikan sa imong iPhone ngadto sa imong Mac ug usa ka tig-atake ang mopuli sa imong Mac, dili na nila kinahanglan ang imong iPhone. Aron mapasa ang klasiko nga mga mensahe sa SMS, wala’y kinahanglan nga direktang koneksyon tali sa iPhone ug Mac - dili kinahanglan nga naa sila sa parehas nga Wi-Fi network, dili kinahanglan nga i-on ang Wi-Fi, sama sa Bluetooth, ug ang tanan nga gikinahanglan mao ang pagkonektar sa duha ka mga device ngadto sa internet. Ang serbisyo sa SMS Relay, ingon nga ang pagpasa sa mga mensahe opisyal nga gitawag, nakigsulti pinaagi sa iMessage protocol.
Sa praktis, ang paagi sa pagtrabaho mao nga bisan kung ang mensahe moabut kanimo ingon usa ka normal nga SMS, giproseso kini sa Apple ingon usa ka iMessage ug gibalhin kini sa Internet sa Mac (mao kini kung giunsa kini nagtrabaho sa iMessage sa wala pa ang pag-abut sa SMS Relay) , diin kini nagpakita niini ingon nga usa ka SMS, nga gipakita sa usa ka berde nga bula . Ang iPhone ug Mac mahimong matag usa sa usa ka lahi nga lungsod, ang duha ra nga mga aparato kinahanglan usa ka koneksyon sa Internet.
Makakuha ka usab og pruweba nga ang SMS Relay dili molihok sa Wi-Fi o Bluetooth sa mosunod nga paagi: i-activate ang airplane mode sa imong iPhone ug isulat ug ipadala ang SMS sa Mac nga konektado sa Internet. Dayon idiskonekta ang Mac gikan sa Internet ug, sa kasukwahi, ikonektar ang iPhone niini (igo na ang mobile internet). Ang SMS gipadala bisan kung ang duha nga mga aparato wala gyud direktang nakigsulti sa usag usa - ang tanan gisiguro sa protocol sa iMessage.
Busa, kung mogamit sa pagpasa sa mensahe, kinahanglan nga hinumdoman nga ang seguridad sa duha ka hinungdan nga pag-authenticate nakompromiso. Kung gikawat ang imong kompyuter, ang pagpahunong dayon sa pagmemensahe mao ang labing kadali ug labing kadali nga paagi aron mapugngan ang potensyal nga pag-hack sa imong mga account.
Ang pagsulod sa Internet banking mas sayon kung dili nimo kinahanglan nga isulat pag-usab ang verification code gikan sa display sa telepono, apan kopyaha lang kini gikan sa Messages sa Mac, apan ang seguridad mas importante niini nga kaso, nga kulang kaayo tungod sa SMS Relay . Ang usa ka solusyon sa kini nga problema mahimong, pananglitan, ang posibilidad nga dili iapil ang piho nga mga numero gikan sa pagpasa sa Mac, tungod kay ang mga SMS code kasagaran gikan sa parehas nga mga numero.
Sama sa gihisgutan sa katapusan nga parapo - ang abilidad sa pagkopya sa code mas sayon ug mas maayo.
Dugang pa - kung adunay mangawat sa akong MacBook, ang una nakong buhaton mao ang pag-block niini ug i-off ang tanan nga "pagpasa" ug Pagpadayon sa iPhone - mao nga adunay kini nga kapilian sa Mga Setting / Mensahe. :)
Ug kung adunay usa nga nanghilabot kanimo, imo ba usab kining pugngan?
Ug nganong duna kay two-step authorization nga maka-block man dayon sa kinawat nga device, ha?
Ang duha ka lakang nga pag-verify usa ka serbisyo sa ikatulo nga partido, mao nga halos dili nako kini magamit o ibaliwala kini, labing menos sa kaso sa mga bangko. Ug akong gibabagan o gitangtang ang akong Mac pinaagi sa Pangitaa ang akong Mac. Ang mga benepisyo sa pagpasa sa SMS mas dako kay sa kung dili nako makita ang yawa sa luyo sa tanan.
Walay nagpakabana sa pagpangawat, ang bug-os nga disk encryption nakasulbad niana. Apan unsa ang imong buhaton sa usa ka gi-hack nga kompyuter? Tingali wala, wala ka mahibal-an bahin niini.
Aw, siyempre, ang mga bentaha nagpatigbabaw, wala’y nakakita sa yawa ug ang tiggamit kanunay nga nagbaligya sa seguridad alang sa usa ka sayaw nga baboy.
Pinaagi sa dalan, aduna ka bay impresyon nga gipugos ka sa mga bangko sa pagpadala og SMS aron lang malingaw?
kung adunay nabalaka unya ayaw gamita. Natagbaw kaayo ko niini
Ug kadtong wala’y mga kabalaka kauban ang 2FA wala gani mogamit niini, tungod kay klaro nga wala sila nahibal-an kung unsa ang ilang gibuhat.
Ug unsaon nako dili iapil ang usa ka piho nga numero sa Macbook ug ibilin kini sa iPhone? Salamat sa tubag
Ang AFAIK ang pinakamaayo nga kapilian mao ang "i-off ang Text Messages Forwarding ubos sa Messages in Settings (gikan sa imong iPhone)."
Kung wala ko masayop, dili mahimo nga i-whitelist kung unsa ang kinahanglan ipasa, o i-blacklist kung unsa ang dili.
Aw, dili ba mas sayon ang pagpangawat og cell phone kay sa Mac? Oo, mahimo ka adunay password alang sa mobile, apan alang usab sa MAC. Dili ko eksperto, apan tingali dili sayon ang pag-adto sa Mac kung wala ko kabalo sa password (dili ko buot nga basahon ang data, apan ang pag-log in aron magsugod ang SMS relay).
Usab, ayaw kalimti nga naghisgot kami bahin sa doble nga seguridad, diin ang una nga hugna mao ang panguna - pagsulod sa password aron pasidunggan ug kung wala nimo kini gisulat sa MAC o sa pipila nga dokumento sa teksto sa sulod, nan adunay walay access sa bangko (ug dili nimo gamiton ang 1111 isip password :-))
Mao nga, ang pagpangawat sa usa ka mac mahimo’g hinungdan kanimo ang labing kadaghan nga kadaot tungod sa tinuud nga presyo sa mac.
Ang 2FA dili makasulbad sa panguna nga pagpangawat sa Mac o IP. Ang solusyon mao nga ang tig-atake kinahanglan nga makontrol ang Mac ug uban pa. Ang Mac igo na alang kaniya karon. Coz gisalikway ang tanan nga mga benepisyo sa 2FA.
(Ang tambag mao ang pagpanalipod batok sa "attacker on Mac only controls the browser" variant, nga tingali dili hingpit nga kontrolado nga sitwasyon.)
Kana lang kung imong giisip nga hingpit nga luwas ang Mac (haha), dili nimo kinahanglan nga atubangon ang 2FA. Ug kung dili, nan ang 2FA mihunong sa pagdala kanimo nianang dugang nga seguridad, sama sa drive.
Ug usa pa ka higayon, klaro kaayo - moadto ka sa website nga "nicnebezpecneho.cz", nga delikado tungod sa usa ka dili maayo nga hugpong sa mga kahimtang. Kini dali nga mahitabo kanimo - dili nimo kinahanglan nga moadto dayon sa mga porn site, igo na alang sa usa ka tawo nga dili ma-secure ang blog nga imong gibisitahan ug tugotan ang unsanitized nga javascript nga isulud sa mga komento. Adunay usa ka hilit nga pagpahimulos alang sa imong browser sa kana nga panid (mahimo gihapon kini nga mahitabo kanimo, wala’y bisan unsa nga talagsaon). O nasakpan sa social engineering...
...human sa pila ka oras adto ka magpadala ug kwarta gikan sa bangko (mag log in ka sa gmail, github...). Sa pagbuhat sa ingon, imong gisulod ang data sa pag-login sa nakompromiso na nga kompyuter (o dili nimo kinahanglan nga buhaton kana kung natipigan nimo kini nga mga password) ug kopyaha ug idikit ang code gikan sa SMS usa ka higayon.
..ug sa gabii, ang imong computer nag-log in sa bangko (gmail...) sa iyang kaugalingon, ang password na-save na sa usa nga adunay malware. Dili ka makadawat og SMS sa pagkumpirma sa imong mobile phone, apan... ngadto sa nakompromiso nga kompyuter.
Gisulbad gyud sa 2FA kini nga mga senaryo. Hangtod nga gibuak ni Apple.
Naghunahuna ko nga ang 2FA nagpasabut nga kinahanglan nako pamatud-an ang akong kaugalingon pinaagi sa 2 nga mga butang, pananglitan:
– password
– uban sa usa ka telepono nga modawat SMS
Aw, ang pagpasa sa SMS ngadto sa Mac ngadto sa telepono makadugang usab sa Mac (o mas daghang Mac ug iPad nga akong gipares) isip alternatibo, apan 2FA gihapon kini. O dili?
Sa makausa pa - ubos sa normal nga mga kahimtang, gisulbad sa 2FA ang mga sitwasyon sama sa "gi-hack ang akong Mac ug wala ko kahibalo bahin niini". Tungod kay mahimo nimong hunahunaon nga nahibal-an sa Mac ang imong password alang sa serbisyo (nga natipigan na nimo kini o maminaw niini sa sunod nga pag-log in nimo sa serbisyo). Ug karon makadahom ka nga makahibalo usab siya sa SMS (o makapangayo siya bisan unsang orasa ug madawat niya kini).
Kadaghanan sa mga serbisyo nga nagtanyag sa duha ka hinungdan nga panghimatuud (Facebook, Dropbox, Google, Microsoft, ...) nagtugot sa usa ka higayon nga mga password nga mahimo gamit ang usa ka app (Ginagamit nako ang Google Authenticator). Ang aplikasyon kanunay nga nagpatunghag mga code nga limitado sa oras para sa mga rehistradong serbisyo. Ang code mahimong makopya dayon ug magamit sa pag-log in. Dili nimo kinahanglan nga maghulat nga moabut ang SMS ug, kung ipasa kini sa Mac, sulbaron ang problema nga gihulagway sa artikulo.
Ang mga nakompromiso nga mac adunay mga mensahe sa SMS kung nag-log in...
Mobati nga gawasnon sa pagpangutana niana. Kung gi-on nako ang duha ka hugna nga pag-verify gamit ang henerasyon sa usa ka higayon nga code gamit ang aplikasyon, nan ang gihatag nga serbisyo wala magpadala bisan unsang SMS.
Kung adunay wala mausab, daghang mga serbisyo ang gusto sa telepono ug gibiyaan ang SMS isip default nga kapilian. Busa ang imong gi-hack nga kompyuter mibalik.
Sa kadaghan sa mga bangko, wala’y kapilian, usa ra ka SMS ug kana.
Dili kaayo ko kasabot niini. Kung adunay mangawat sa akong Mac, gipalong nako ang SMS, gipahid sa layo ang Mac ug giusab ang password sa bangko. O unsa ang kuha?
Buhaton ba nimo kana sa dili pa basahon kini nga artikulo?
Hingpit, hingpit nga awtomatiko.
Apan ang duha ka hugna nga panghimatuud bahin sa kamatuoran nga ang tig-atake nanginahanglan duha nga pagkumpirma: PASSWORD UG SMS. Nagpasabot kini nga kung nahadlok ko nga adunay mokuha sa akong gipares nga Mac, dili nako ibutang ang password didto, ug kung adunay mag-hack sa akong browser, dili sila makasulod sa iMessage.
Asa nimo makuha ang kasiguruhan nga dili kini mogawas sa imong browser? Sumala sa kasamtangan nga mga resulta sa Pwn4Fun ug Pwn2Own, morag adunay labing menos duha ka zero nga mga adlaw alang sa Safari:
"Sa Pwn4Fun, ang Google naghatag usa ka impresibo nga pagpahimulos batok sa Apple Safari nga naglansad sa Calculator ingon gamut sa Mac OS X"
"Ni Liang Chen sa Keen Team:
Batok sa Apple Safari, usa ka heap overflow kauban ang sandbox bypass, nga miresulta sa code execution."
Nipis nga puti nga letra sa usa ka berde nga background - bisan ang usa ka estudyante sa usa ka espesyal nga eskwelahan mahimo nga nagsugyot nga mas maayo ...
Usa sa mga paagi sa paghunong niini mao ang pag-ilis sa code generation pinaagi sa dongle (pananglitan kini: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) kini luwas ug kini makahimo sa mas taas nga seguridad, KB kinahanglan usab nga mobuhat sa usa ka butang nga susama - usa ka sertipiko nga gi-upload sa usa ka USB disk, kung wala ang usa ka tawo dili makakonektar sa internet banking, ug usahay ang usa ka higayon nga password ipadala sa telepono, etc ... Adunay daghang mga posibilidad, apan ang matag usa adunay ilang kaugalingon siya kinahanglan nga magdesisyon kung ang seguridad importante kaniya (naa ba siyay password o wala? etc.)
Ang Unicredit adunay usa ka maayo nga butang. Ang maalamon nga yawe dili usa ka klasiko nga SMS, apan naghimo ako usa ka higayon nga password sa mobile application.
Nanginahanglan kog tambag ngano kalit nga dili ko makapadala usa ka mm nga mubo nga video, nga posible hangtod karon? Wala’y kapilian nga magsulud lang sa usa ka video, dili kini motubag, dili kini isulud sa mensahe
Salamat kanimo