Ondrej Holzmann Sebbene le nuove funzionalità introdotte in OS X Yosemite e iOS 8 offrano agli utenti molte funzionalità utili che semplificano l'utilizzo di più dispositivi, possono anche rappresentare una minaccia per la sicurezza. Ad esempio, l'inoltro di messaggi di testo da un iPhone a un Mac ignora molto facilmente la verifica in due passaggi quando si accede a vari servizi.
Molto interessante l'insieme delle funzioni Continuity, all'interno delle quali Apple connette i computer con i dispositivi mobili dotati dei più recenti sistemi operativi, soprattutto per quanto riguarda le reti e le tecniche utilizzate per connettere iPhone e iPad ai Mac. La continuità include la possibilità di effettuare chiamate da un Mac, inviare file tramite AirDrop o creare rapidamente un hotspot, ma ora ci concentreremo sull'inoltro regolare di SMS ai computer.
Questa funzione relativamente poco appariscente ma molto utile può, nel peggiore dei casi, trasformarsi in una falla di sicurezza che consente a un utente malintenzionato di ottenere dati per la seconda fase di verifica quando accede a servizi selezionati. Stiamo parlando del cosiddetto login in due fasi, che oltre alle banche viene già introdotto da molti servizi internet ed è molto più sicuro che se si avesse un conto protetto solo da una classica ed unica password.
La verifica in due fasi può avvenire in diversi modi, ma quando parliamo di servizi bancari online e altri servizi Internet, molto spesso ci imbattiamo nell'invio di un codice di verifica al tuo numero di telefono, che devi quindi inserire accanto alla password normale. Pertanto, se qualcuno entra in possesso della tua password (o del computer comprensivo di password o certificato), solitamente avrà bisogno del tuo cellulare, ad esempio, per accedere all'internet banking, dove arriverà un SMS con la password per la seconda fase di verifica. .
Ma nel momento in cui tutti i tuoi messaggi di testo vengono inoltrati dal tuo iPhone al tuo Mac e un utente malintenzionato prende il controllo del tuo Mac, non ha più bisogno del tuo iPhone. Per inoltrare i classici SMS non è necessaria alcuna connessione diretta tra iPhone e Mac: non è necessario che si trovino sulla stessa rete Wi-Fi, il Wi-Fi non deve nemmeno essere acceso, proprio come il Bluetooth, e tutto ciò che serve è connettere entrambi i dispositivi a Internet. Il servizio SMS Relay, come viene ufficialmente chiamato l'inoltro dei messaggi, comunica tramite il protocollo iMessage.
In pratica, funziona così: anche se il messaggio ti arriva come un normale SMS, Apple lo elabora come un iMessage e lo trasferisce via Internet al Mac (così funzionava con iMessage prima dell'avvento di SMS Relay) , dove lo visualizza come SMS, indicato da un fumetto verde . iPhone e Mac possono trovarsi ciascuno in una città diversa, solo che entrambi i dispositivi necessitano di una connessione Internet.
Puoi anche provare che SMS Relay non funziona tramite Wi-Fi o Bluetooth nel modo seguente: attiva la modalità aereo sul tuo iPhone e scrivi e invia un SMS su un Mac connesso a Internet. Quindi disconnetti il Mac da Internet e, viceversa, collega ad esso l'iPhone (è sufficiente Internet mobile). L'SMS viene inviato anche se i due dispositivi non hanno mai comunicato direttamente tra loro: tutto è garantito dal protocollo iMessage.
Pertanto, quando si utilizza l'inoltro dei messaggi, è necessario tenere presente che la sicurezza dell'autenticazione a due fattori è compromessa. Nel caso in cui il tuo computer venga rubato, disattivare immediatamente la messaggistica è il modo più semplice e veloce per prevenire potenziali attacchi hacker ai tuoi account.
Accedere all'Internet banking è più comodo quando non devi riscrivere il codice di verifica dal display del telefono, ma basta copiarlo da Messaggi sul Mac, ma in questo caso è molto più importante la sicurezza, che manca molto a causa dell'SMS Relay . Una soluzione a questo problema potrebbe essere, ad esempio, la possibilità di escludere determinati numeri dall'inoltro su Mac, poiché i codici SMS provengono solitamente dagli stessi numeri.
Come accennato nell'ultimo paragrafo, la possibilità di copiare il codice è molto più comoda e migliore.
Inoltre, se qualcuno mi ruba il MacBook, la prima cosa che faccio è bloccarlo e disattivare tutti gli "inoltri" e la continuità sull'iPhone - ecco perché c'è anche questa opzione in Impostazioni/Messaggi. :)
E se qualcuno te lo aggancia, lo smetti anche tu?
E perché avere un'autorizzazione in due passaggi quando puoi bloccare subito il dispositivo rubato, eh?
La verifica in due passaggi è un servizio di terze parti, quindi difficilmente posso non utilizzarla o ignorarla, almeno nel caso delle banche. E blocco o elimino il mio Mac tramite Trova il mio Mac. I vantaggi dell'inoltro SMS sono maggiori se non vedo il diavolo dietro tutto.
A nessuno importa del furto, la crittografia completa del disco risolve questo problema. Ma cosa farai con un computer hackerato? Probabilmente niente, non lo saprai.
Ovviamente prevalgono i vantaggi, nessuno vede il diavolo e l'utente baratta sempre la sicurezza con un maiale ballerino.
A proposito, hai l'impressione che le banche ti obblighino a inviare SMS solo per divertimento?
se qualcuno è preoccupato non usarlo. Ne sono estremamente soddisfatto
E chi non ha preoccupazioni riguardo alla 2FA non la usa nemmeno, perché ovviamente non sa cosa sta facendo.
E come faccio a escludere un numero specifico sul Macbook e lasciarlo su iPhone? Grazie per la risposta
Per quanto ne so, l'opzione migliore è "disattiva l'inoltro dei messaggi di testo in Messaggi in Impostazioni (dal tuo iPhone)".
Se non sbaglio, non è possibile inserire nella whitelist ciò che deve essere inoltrato, né nella blacklist ciò che no.
Beh, non è più facile rubare un cellulare che un Mac? Sì, puoi avere una password per il cellulare, ma anche per il MAC. Non sono un esperto, ma probabilmente non è facile accedere al Mac se non conosco la password (non intendo leggere i dati, ma accedere in modo che si avvii l'inoltro degli SMS).
Inoltre, non dimenticare che stiamo parlando di doppia sicurezza, dove la prima fase è quella principale: inserire la password da onorare e se non ce l'hai scritta sul MAC o in qualche documento di testo all'interno, allora c'è nessun accesso alla banca (e non usi 1111 come password :-))
Quindi, rubare un Mac probabilmente ti causerà il danno maggiore a causa del prezzo reale del Mac.
2FA non risolve il furto principale di Mac o IP. La soluzione è che l'aggressore deve prendere il controllo del Mac e qualcos'altro. Adesso gli basta il Mac. Coz annulla tutti i vantaggi della 2FA.
(Il consiglio è di proteggersi dalla variante "l'aggressore su Mac controlla solo il browser", che probabilmente non è una situazione completamente controllata.)
È solo che se consideri il Mac totalmente sicuro (haha), allora non devi avere a che fare con 2FA. E in caso contrario, 2FA ha smesso di offrirti quella maggiore sicurezza, come driv.
E ancora una volta, in modo molto vivido, vai sul sito "nicnebezpecneho.cz", che è pericoloso a causa di una serie di circostanze sfortunate. Questo può succederti abbastanza facilmente: non devi andare subito su siti porno, è sufficiente che qualcuno non protegga il blog che stai visitando e lasci che Javascript non disinfettato venga inserito nei commenti. Su quella pagina è presente un exploit remoto per il tuo browser (può comunque succederti, niente di molto insolito). Oppure lasciarsi coinvolgere nell'ingegneria sociale...
...dopo qualche ora vai a inviare denaro dalla banca (accedi a gmail, github...). Per fare ciò, inserisci i dati di accesso nel computer già compromesso (o non devi nemmeno farlo se hai salvato queste password) e copi e incolli il codice dall'SMS una volta.
..e di notte il tuo computer accede da solo alla banca (gmail...), la password è già stata salvata da qualcuno con un malware. Non riceverai un SMS di conferma sul tuo cellulare, ma... in quel computer compromesso.
2FA ha risolto esattamente questi scenari. Fino a quando Apple non lo ha rotto.
Pensavo che 2FA significasse che dovevo mettermi alla prova con 2 cose, ad esempio:
- parola d'ordine
– con un telefono che accetta SMS
Bene, anche l'inoltro di SMS al Mac al telefono aggiunge il Mac (o più Mac e iPad che ho accoppiato) come alternativa, ma è pur sempre 2FA. O no?
Ancora una volta, in circostanze normali, la 2FA risolve situazioni come "il mio Mac è stato violato e non lo so". Perché in questo caso puoi presumere che il Mac conosca la tua password per il servizio (che l'hai già salvata o che la ascolterai la prossima volta che accedi al servizio). E ora puoi aspettarti che conoscerà anche gli SMS (oppure potrà chiederlo in qualsiasi momento e lo riceverà).
La maggior parte dei servizi che offrono l'autenticazione a due fattori (Facebook, Dropbox, Google, Microsoft, ...) consentono di generare password monouso tramite un'app (io utilizzo Google Authenticator). L'applicazione genera costantemente codici limitati nel tempo per i servizi registrati. Il codice può essere copiato immediatamente e utilizzato per effettuare il login. Non devi aspettare che arrivino gli SMS e, se vengono inoltrati al Mac, risolvi il problema descritto nell'articolo.
I Mac compromessi ricevono messaggi SMS quando accedono...
Sentiti libero di chiederlo. Se ho attivato la verifica in due fasi con la generazione di un codice monouso utilizzando l'applicazione, il servizio fornito non invierà alcun SMS.
Se qualcosa non è cambiato, molti servizi volevano il telefono e hanno lasciato gli SMS come opzione predefinita. Quindi il tuo computer hackerato è tornato.
Con un gran numero di banche non c'è scelta, basta un SMS e basta.
Non lo capisco molto chiaramente. Se qualcuno mi ruba il Mac, disattivo gli SMS, pulisco il Mac da remoto e cambio la password in banca. Oppure qual è il problema?
Lo faresti prima di leggere questo articolo?
Assolutamente, assolutamente automatico.
Ma l'autenticazione in due fasi riguarda il fatto che l'aggressore necessita di due conferme: PASSWORD E SMS. Ciò significa che se temo che qualcuno prenda il mio Mac accoppiato, non memorizzo lì la password e se qualcuno hackera il mio browser, non entrerà in iMessage.
Dove hai la certezza che non uscirà dal tuo browser? Secondo i risultati attuali di Pwn4Fun e Pwn2Own, sembra che ci siano almeno due giorni zero per Safari:
"Su Pwn4Fun, Google ha realizzato un exploit davvero impressionante contro Apple Safari lanciando Calcolatrice come root su Mac OS X"
"Di Liang Chen del Keen Team:
Contro Apple Safari, overflow dell'heap insieme a un bypass del sandbox, con conseguente esecuzione del codice."
Sottili caratteri bianchi su sfondo verde: nemmeno un alunno di una scuola speciale avrebbe potuto suggerirlo meglio...
Uno dei modi per fermare questo è sostituire la generazione del codice tramite un dongle (ad esempio questo: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) è sicuro e consente una maggiore sicurezza, anche KB deve fare qualcosa di simile: un certificato caricato su un disco USB, senza il quale una persona non può connettersi all'internet banking, inoltre a volte viene inviata una password monouso al telefono, ecc. ... Ci sono molte possibilità, ma ognuno ha la sua, deve decidere se per lei è importante la sicurezza (ha o no la password? ecc.)
Unicredit ha una grande cosa. La chiave intelligente non è mai un classico SMS, ma genero una password monouso nell'applicazione mobile.
Ho bisogno di un consiglio sul motivo per cui all'improvviso non riesco a inviare un video breve di mm, cosa che fino ad ora era possibile? Non c'è la possibilità di inserire semplicemente un video, non risponde, non lo inserisce nel messaggio
Grazie