Ondrej Holzman Mặc dù các tính năng mới được giới thiệu trong OS X Yosemite và iOS 8 mang lại nhiều tính năng hữu ích cho người dùng giúp đơn giản hóa việc sử dụng nhiều thiết bị nhưng chúng cũng có thể gây ra mối đe dọa bảo mật. Ví dụ: chuyển tiếp tin nhắn văn bản từ iPhone sang máy Mac rất dễ dàng bỏ qua xác minh hai bước khi đăng nhập vào các dịch vụ khác nhau.
Bộ chức năng Continuity, trong đó Apple kết nối máy tính với thiết bị di động trong hệ điều hành mới nhất, rất thú vị, đặc biệt là về mạng và kỹ thuật mà họ sử dụng để kết nối iPhone và iPad với máy Mac. Tính liên tục bao gồm khả năng thực hiện cuộc gọi từ máy Mac, gửi tệp qua AirDrop hoặc nhanh chóng tạo điểm phát sóng, nhưng bây giờ chúng tôi sẽ tập trung vào việc chuyển tiếp SMS thông thường đến máy tính.
Trong trường hợp xấu nhất, chức năng tương đối khó thấy nhưng rất hữu ích này có thể biến thành lỗ hổng bảo mật cho phép kẻ tấn công lấy dữ liệu cho giai đoạn xác minh thứ hai khi đăng nhập vào các dịch vụ đã chọn. Ở đây chúng ta đang nói về cái gọi là đăng nhập hai giai đoạn, ngoài ngân hàng, tính năng này đã được nhiều dịch vụ internet giới thiệu và an toàn hơn nhiều so với việc bạn có tài khoản chỉ được bảo vệ bằng một mật khẩu cổ điển và duy nhất.
Xác minh hai giai đoạn có thể diễn ra theo nhiều cách khác nhau, nhưng khi nói về ngân hàng trực tuyến và các dịch vụ internet khác, chúng tôi thường gặp phải việc gửi mã xác minh đến số điện thoại của bạn, sau đó bạn phải nhập mã này bên cạnh việc nhập mật khẩu thông thường của mình. Do đó, nếu ai đó lấy được mật khẩu của bạn (hoặc máy tính bao gồm mật khẩu hoặc chứng chỉ), chẳng hạn, họ thường sẽ cần điện thoại di động của bạn để đăng nhập vào ngân hàng trực tuyến, nơi sẽ có một tin nhắn SMS chứa mật khẩu cho giai đoạn xác minh thứ hai. .
Nhưng thời điểm bạn chuyển tiếp tất cả tin nhắn văn bản từ iPhone sang máy Mac và kẻ tấn công chiếm lấy máy Mac của bạn, họ không còn cần iPhone của bạn nữa. Để chuyển tiếp tin nhắn SMS cổ điển, không cần kết nối trực tiếp giữa iPhone và Mac - chúng không cần phải ở trên cùng một mạng Wi-Fi, thậm chí không cần phải bật Wi-Fi, giống như Bluetooth, và tất cả những gì cần thiết là kết nối cả hai thiết bị với internet. Dịch vụ SMS Relay, tên gọi chính thức của việc chuyển tiếp tin nhắn, giao tiếp qua giao thức iMessage.
Trên thực tế, cách thức hoạt động của nó là mặc dù tin nhắn đến với bạn dưới dạng SMS thông thường nhưng Apple xử lý nó dưới dạng iMessage và chuyển nó qua Internet sang máy Mac (đây là cách nó hoạt động với iMessage trước khi SMS Relay ra đời) , nơi nó hiển thị dưới dạng SMS, được biểu thị bằng bong bóng màu xanh lục . Mỗi iPhone và Mac có thể ở một thành phố khác nhau, chỉ có điều cả hai thiết bị đều cần kết nối Internet.
Bạn cũng có thể lấy bằng chứng cho thấy SMS Relay không hoạt động qua Wi-Fi hoặc Bluetooth theo cách sau: kích hoạt chế độ trên máy bay trên iPhone của bạn và viết và gửi SMS trên máy Mac được kết nối Internet. Sau đó ngắt kết nối máy Mac khỏi Internet và ngược lại, kết nối iPhone với nó (Internet di động là đủ). SMS được gửi đi dù hai thiết bị chưa bao giờ liên lạc trực tiếp với nhau - mọi thứ đều được đảm bảo bởi giao thức iMessage.
Vì vậy, khi sử dụng tính năng chuyển tiếp tin nhắn, cần lưu ý rằng tính bảo mật của xác thực hai yếu tố có thể bị xâm phạm. Trong trường hợp máy tính của bạn bị đánh cắp, việc vô hiệu hóa tính năng nhắn tin ngay lập tức là cách nhanh nhất và dễ dàng nhất để ngăn chặn khả năng tài khoản của bạn bị hack.
Vào Internet Banking sẽ thuận tiện hơn nếu bạn không phải viết lại mã xác minh từ màn hình điện thoại mà chỉ cần sao chép mã từ Tin nhắn trên máy Mac, nhưng trong trường hợp này, bảo mật quan trọng hơn nhiều, điều này còn thiếu rất nhiều do SMS Relay . Ví dụ: giải pháp cho vấn đề này có thể là khả năng loại trừ các số cụ thể khỏi việc chuyển tiếp trên máy Mac, vì mã SMS thường đến từ cùng một số.
Như đã đề cập ở đoạn trước - khả năng sao chép mã thuận tiện và tốt hơn nhiều.
Ngoài ra - nếu ai đó đánh cắp MacBook của tôi, điều đầu tiên tôi làm là chặn nó và tắt tất cả "chuyển tiếp" và Continuity trên iPhone - đó là lý do tại sao cũng có tùy chọn này trong Cài đặt / Tin nhắn. :)
Và nếu ai đó móc nó vào bạn, bạn có ngăn cản không?
Và tại sao phải xác thực hai bước khi bạn có thể chặn thiết bị bị đánh cắp ngay lập tức nhỉ?
Xác minh hai bước là dịch vụ của bên thứ ba nên tôi khó có thể không sử dụng hoặc bỏ qua, ít nhất là trong trường hợp của các ngân hàng. Và tôi chặn hoặc xóa máy Mac của mình thông qua Tìm máy Mac. Lợi ích của việc chuyển tiếp SMS sẽ lớn hơn nếu tôi không nhìn thấy ma quỷ đằng sau mọi thứ.
Không ai quan tâm đến việc trộm cắp, mã hóa toàn bộ ổ đĩa sẽ giải quyết được điều đó. Nhưng bạn sẽ làm gì với một máy tính bị hack? Có lẽ không có gì, bạn sẽ không biết về nó.
Tất nhiên, lợi thế chiếm ưu thế, không ai nhìn thấy ma quỷ và người dùng luôn đánh đổi sự an toàn để lấy một con lợn nhảy.
Nhân tiện, bạn có ấn tượng rằng các ngân hàng đang buộc bạn gửi SMS chỉ để giải trí không?
nếu ai lo lắng thì đừng dùng. Tôi cực kỳ hài lòng với nó
Và những người không quan tâm đến việc kết hợp với 2FA thậm chí không sử dụng nó, bởi vì rõ ràng họ không biết mình đang làm gì.
Và làm cách nào để loại trừ một số cụ thể trên Macbook và để lại trên iPhone? Cảm ơn vi đa trả lơi
AFAIK tùy chọn tốt nhất là "tắt Chuyển tiếp tin nhắn văn bản trong Tin nhắn trong Cài đặt (từ iPhone của bạn)."
Nếu tôi không nhầm thì không thể đưa vào danh sách trắng những gì nên chuyển tiếp, cũng như đưa vào danh sách đen những gì không được chuyển tiếp.
Chà, chẳng phải ăn trộm điện thoại di động dễ hơn máy Mac sao? Có, bạn có thể đặt mật khẩu cho thiết bị di động và cả cho MAC. Tôi không phải là chuyên gia, nhưng có lẽ không dễ để vào được Mac nếu tôi không biết mật khẩu (tôi không có ý đọc dữ liệu mà là đăng nhập để bắt đầu chuyển tiếp SMS).
Ngoài ra, đừng quên rằng chúng ta đang nói về bảo mật kép, trong đó giai đoạn đầu tiên là giai đoạn chính - nhập mật khẩu để tôn vinh và nếu bạn không ghi nó trên MAC hoặc trong một số tài liệu văn bản bên trong, thì sẽ có không có quyền truy cập vào ngân hàng (và bạn không sử dụng 1111 làm mật khẩu :-))
Vì vậy, việc ăn trộm một chiếc mac có thể sẽ khiến bạn thiệt hại lớn nhất do giá thật của chiếc mac.
2FA không giải quyết được vấn đề trộm cắp máy Mac hoặc IP chính. Giải pháp là kẻ tấn công phải giành quyền kiểm soát máy Mac và thứ khác. Mac bây giờ là đủ cho anh ấy rồi. Coz phủ nhận tất cả lợi ích của 2FA.
(Lời khuyên là hãy bảo vệ khỏi biến thể "kẻ tấn công trên Mac chỉ kiểm soát trình duyệt", đây có thể không phải là tình huống được kiểm soát hoàn toàn.)
Chỉ là nếu bạn coi Mac là hoàn toàn an toàn (haha), thì bạn không cần phải đối mặt với 2FA. Và nếu không, thì 2FA đã ngừng mang lại cho bạn mức độ bảo mật tăng cường như ổ đĩa.
Và một lần nữa, rất sinh động - bạn truy cập trang web "nicnebezpecneho.cz", trang web này rất nguy hiểm do một tình huống không may xảy ra. Điều này có thể xảy ra với bạn khá dễ dàng - bạn không cần phải truy cập các trang web khiêu dâm ngay lập tức, chỉ cần ai đó không bảo mật blog bạn đang truy cập và để javascript không được vệ sinh được chèn vào nhận xét là đủ. Có một cách khai thác từ xa đối với trình duyệt của bạn trên trang đó (điều này vẫn có thể xảy ra với bạn, không có gì bất thường). Hoặc bị cuốn vào kỹ thuật xã hội...
...sau vài tiếng bạn đi gửi tiền từ ngân hàng (bạn đăng nhập gmail, github...). Khi làm như vậy, bạn nhập dữ liệu đăng nhập vào máy tính đã bị xâm nhập (hoặc thậm chí bạn không phải làm điều đó nếu đã lưu các mật khẩu này) và sao chép và dán mã từ SMS một lần.
..và đến tối máy bạn tự đăng nhập vào ngân hàng (gmail...) thì mật khẩu đã bị ai đó cài phần mềm độc hại lưu rồi. Bạn sẽ không nhận được SMS xác nhận trên điện thoại di động của mình, nhưng... vào máy tính bị xâm nhập đó.
2FA đã giải quyết chính xác những tình huống này. Cho đến khi Apple phá vỡ nó.
Tôi tưởng 2FA có nghĩa là tôi phải chứng minh bản thân bằng 2 điều, ví dụ:
- mật khẩu
– với điện thoại chấp nhận SMS
Chà, việc chuyển tiếp SMS từ Mac sang điện thoại cũng thêm Mac (hoặc nhiều Mac và iPad mà tôi đã ghép nối) làm giải pháp thay thế, nhưng nó vẫn là 2FA. Hay không?
Một lần nữa - trong những trường hợp bình thường, 2FA giải quyết các tình huống như "máy Mac của tôi bị hack và tôi không biết về điều đó". Bởi vì khi đó bạn có thể cho rằng máy Mac biết mật khẩu dịch vụ của bạn (rằng bạn đã lưu nó hoặc sẽ nghe nó vào lần tiếp theo bạn đăng nhập vào dịch vụ). Và bây giờ bạn có thể mong đợi rằng anh ấy cũng sẽ biết SMS (hoặc anh ấy có thể yêu cầu bất cứ lúc nào và anh ấy sẽ nhận được nó).
Hầu hết các dịch vụ cung cấp xác thực hai yếu tố (Facebook, Dropbox, Google, Microsoft,…) đều cho phép tạo mật khẩu một lần bằng ứng dụng (tôi sử dụng Google Authenticator). Ứng dụng liên tục tạo mã giới hạn thời gian cho các dịch vụ đã đăng ký. Mã có thể được sao chép ngay lập tức và được sử dụng để đăng nhập. Bạn không cần phải đợi SMS đến và nếu chúng được chuyển tiếp đến máy Mac, hãy giải quyết vấn đề được mô tả trong bài viết.
Máy Mac bị xâm nhập có tin nhắn SMS khi đăng nhập...
Hãy thoải mái yêu cầu điều đó. Nếu tôi đã bật xác minh hai giai đoạn bằng cách tạo mã một lần bằng ứng dụng thì dịch vụ nhất định sẽ không gửi bất kỳ SMS nào.
Nếu có điều gì đó không thay đổi, rất nhiều dịch vụ muốn có điện thoại và để SMS làm tùy chọn mặc định. Vậy là máy tính bị hack của bạn đã hoạt động trở lại.
Với số lượng ngân hàng đông đảo thì không có lựa chọn nào khác, chỉ cần nhắn tin SMS là xong.
Tôi không hiểu điều này rất rõ ràng. Nếu ai đó lấy trộm máy Mac của tôi, tôi sẽ tắt SMS, xóa máy Mac từ xa và đổi mật khẩu tại ngân hàng. Hoặc có gì thú vị?
Bạn có làm điều đó trước khi đọc bài viết này không?
Tuyệt đối, hoàn toàn tự động.
Nhưng xác thực hai giai đoạn thực tế là kẻ tấn công cần hai xác nhận: MẬT KHẨU VÀ SMS. Điều này có nghĩa là nếu tôi sợ ai đó lấy máy Mac đã ghép nối của mình thì tôi sẽ không lưu mật khẩu ở đó và nếu ai đó hack trình duyệt của tôi, họ sẽ không vào được iMessage.
Bạn lấy đâu ra sự đảm bảo rằng nó sẽ không thoát ra khỏi trình duyệt của bạn? Theo kết quả hiện tại của Pwn4Fun và Pwn2Own, có vẻ như có ít nhất hai ngày XNUMX đối với Safari:
"Tại Pwn4Fun, Google đã thực hiện một bước khai thác rất ấn tượng chống lại việc Apple Safari khởi chạy Máy tính dưới quyền root trên Mac OS X"
"Bởi Liang Chen của Keen Team:
Đối với Apple Safari, lỗi tràn bộ đệm cùng với việc bỏ qua hộp cát, dẫn đến việc thực thi mã."
Chữ trắng mỏng trên nền xanh - ngay cả học sinh của một trường đặc biệt cũng không thể gợi ý tốt hơn...
Một trong những cách để ngăn chặn điều này là thay thế việc tạo mã thông qua một dongle (ví dụ: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) nó an toàn và cho phép bảo mật cao hơn, KB cũng cần phải làm điều gì đó tương tự - chứng chỉ được tải lên đĩa USB mà nếu không có chứng chỉ này thì một người không thể kết nối với ngân hàng Internet, cộng với đôi khi mật khẩu một lần được gửi đến điện thoại, v.v. ... Có rất nhiều khả năng, nhưng mỗi người đều có khả năng riêng, cô ấy phải quyết định xem bảo mật có quan trọng với mình không (cô ấy có mật khẩu hay không? v.v.)
Unicredit có một điều tuyệt vời. Chìa khóa thông minh không bao giờ là một tin nhắn SMS cổ điển mà tôi tạo mật khẩu một lần trong ứng dụng di động.
Tôi cần lời khuyên về lý do tại sao tôi đột nhiên không thể gửi một video ngắn mm, điều này có thể thực hiện được cho đến bây giờ? Không có lựa chọn nào đơn giản là chèn video, nó không phản hồi, không chèn vào tin nhắn
cảm ơn bạn