翁德雷·霍爾茲曼 儘管 OS X Yosemite 和 iOS 8 中引入的新功能為用戶帶來了許多有用的功能,簡化了多個裝置的使用,但它們也可能帶來安全威脅。例如,在登入各種服務時,將簡訊從 iPhone 轉發到 Mac 很容易繞過兩步驟驗證。
蘋果公司在最新作業系統中將電腦與行動裝置連接起來的一組連續性功能非常有趣,特別是在它們用於將 iPhone 和 iPad 連接到 Mac 的網路和技術方面。連續性包括從 Mac 撥打電話、透過 AirDrop 發送文件或快速建立熱點的能力,但現在我們將專注於將常規簡訊轉發到電腦。
這個相對不起眼但非常有用的功能在最壞的情況下可能會變成一個安全漏洞,允許攻擊者在登入選定的服務時獲取第二個驗證階段的資料。我們在這裡討論的是所謂的兩階段登錄,除了銀行之外,許多互聯網服務已經引入了這種登錄方式,並且比您擁有僅受經典單一密碼保護的帳戶要安全得多。
兩階段驗證可以透過不同的方式進行,但是當我們談論網路銀行和其他網路服務時,我們最常遇到的情況是向您的電話號碼發送驗證碼,然後您必須在輸入常規密碼後輸入該驗證碼。因此,如果有人掌握了您的密碼(或包括密碼或證書的電腦),他們通常需要您的手機,例如登入網路銀行,其中會收到包含第二階段驗證密碼的簡訊。
但是,一旦您將所有簡訊從 iPhone 轉發到 Mac,並且攻擊者接管了您的 Mac,他們就不再需要您的 iPhone。為了轉發經典的短信,iPhone和Mac之間不需要直接連接——它們不必位於同一個Wi-Fi網路上,甚至不需要打開Wi-Fi,就像藍牙一樣,所需要做的就是將兩台設備連接到網際網路。 SMS 中繼服務(訊息轉發的正式名稱)透過 iMessage 協定進行通訊。
實際上,它的工作方式是,雖然訊息以普通 SMS 的形式發送給您,但 Apple 將其作為 iMessage 進行處理,並通過互聯網將其傳輸到 Mac(這就是 SMS Relay 出現之前 iMessage 的工作方式) ,將其顯示為短信,由綠色氣泡表示。 iPhone 和 Mac 可以位於不同的城市,只是兩台裝置都需要網路連線。
您還可以透過以下方式獲得簡訊中繼無法透過 Wi-Fi 或藍牙工作的證據:在 iPhone 上啟動飛行模式,並在連接到網路的 Mac 上編寫和發送簡訊。然後斷開Mac與互聯網的連接,相反,將iPhone連接到它(移動互聯網就足夠了)。即使兩個設備從未直接相互通信,也會發送短信 - 一切都由 iMessage 協議確保。
因此,在使用訊息轉發時,有必要牢記雙重認證的安全性受到損害。如果您的電腦被盜,立即停用訊息傳遞是防止您的帳戶遭到潛在駭客攻擊的最快、最簡單的方法。
如果您不必從手機顯示器上重寫驗證碼,而只需從Mac上的消息中複製驗證碼,則進入網上銀行會更方便,但在這種情況下,安全性更為重要,而由於短信中繼,安全性大大缺乏。例如,解決此問題的方法可能是在 Mac 上排除特定號碼的轉發,因為 SMS 代碼通常來自相同的號碼。
如上一段所述 - 複製程式碼的能力更加方便和更好。
此外 - 如果有人偷了我的 MacBook,我做的第一件事就是阻止它並關閉 iPhone 上的所有「轉發」和連續性 - 這就是為什麼「設定/訊息」中也有這個選項。 :)
如果有人把它掛在你身上,你也會阻止它嗎?
當您可以立即阻止被盜設備時,為什麼還要進行兩步驟授權?
兩步驟驗證是第三方服務,所以我很難不使用它或忽略它,至少對銀行來說是這樣。我透過「尋找我的 Mac」來阻止或刪除我的 Mac。如果我沒有看到一切背後的魔鬼,那麼簡訊轉發的好處就超過了。
沒有人關心盜竊,全盤加密解決了這個問題。但是你要如何處理被駭的計算機呢?可能沒什麼,你不會知道的。
好吧,當然,優勢佔上風,沒有人看到魔鬼,用戶總是用安全來換取跳舞的豬。
順便問一下,您是否有這樣的印象:銀行強迫您發送簡訊只是為了好玩?
如果有人擔心那就不要使用它。我對此非常滿意
那些不關心 2FA 組合的人甚至不會使用它,因為他們顯然不知道自己在做什麼。
如何在 Macbook 上排除特定號碼並將其保留在 iPhone 上?謝謝回覆
據我所知,最好的選擇是「在「設定」中的「訊息」下關閉「簡訊轉發(從您的 iPhone)」。
如果我沒記錯的話,不可能將應該轉發的內容列入白名單,也不會將不應轉發的內容列入黑名單。
那麼,偷手機不是比偷 Mac 容易嗎?是的,您可以為行動裝置設定密碼,也可以為 MAC 設定密碼。我不是專家,但如果我不知道密碼,那麼訪問Mac可能並不容易(我的意思不是讀取數據,而是登入以便啟動短信中繼)。
另外,不要忘記我們正在談論雙重安全性,其中第一階段是主要階段 - 輸入要遵守的密碼,如果您沒有將其寫在 MAC 上或內部的某些文本文檔中,那麼就會有無法訪問銀行(且您不使用1111 作為密碼:-))
所以,mac的真實價格很可能會是偷mac對你造成的最大傷害。
2FA 不能解決主要的 Mac 或 IP 竊盜問題。解決方案是攻擊者必須控制 Mac 和其他東西。現在 Mac 對他來說已經足夠了。 Coz 否定了 2FA 的所有好處。
(建議是防止「Mac 上的攻擊者僅控制瀏覽器」變體,這可能不是完全受控的情況。)
只是如果你認為 Mac 是完全安全的(哈哈),那麼你就不必處理 2FA。如果沒有,那麼 2FA 就不再為您帶來更高的安全性,例如駕駛。
還有一次,非常生動地 - 您訪問了網站“nicnebezpecneho.cz”,由於一系列不幸的情況,該網站是危險的。這種情況很容易發生在您身上 - 您不必立即訪問色情網站,只要有人不保護您正在訪問的博客並讓未經消毒的 JavaScript 插入到評論中就足夠了。該頁面上有針對您的瀏覽器的遠端攻擊(這種情況仍然可能發生在您身上,沒什麼不尋常的)。或陷入社會工程......
……幾個小時後,您從銀行匯款(您登入 gmail、github...)。這樣做時,您將登入資料輸入到已經受感染的電腦中(或者如果您儲存了這些密碼,您甚至不必這樣做),然後從簡訊複製並貼上一次代碼。
..晚上,您的電腦自行登入銀行(gmail...),密碼已被帶有惡意軟體的人保存。您的手機不會收到確認短信,但是...進入那台受感染的計算機。
2FA 正是解決了這些場景。直到蘋果打破了它。
我認為2FA意味著我必須透過兩件事來證明自己,例如:
- 密碼
– 使用接受簡訊的手機
好吧,將 Mac 的簡訊轉發到手機也會添加 Mac(或我已配對的更多 Mac 和 iPad)作為替代方案,但它仍然是 2FA。或不?
再說一次 - 在正常情況下,2FA 可以解決諸如“我的 Mac 被黑客入侵而我不知道”之類的情況。因為這樣你就可以假設 Mac 知道你的服務密碼(你已經儲存了密碼,或是會在你下次登入服務時監聽它)。現在你可以期望他也知道短信(或者他可以隨時詢問並且他會收到)。
大多數提供雙重認證的服務(Facebook、Dropbox、Google、Microsoft 等)都允許使用應用程式產生一次性密碼(我使用 Google Authenticator)。該應用程式不斷為註冊服務產生限時代碼。該代碼可以立即複製並用於登入。您不必等待簡訊到達,如果它們被轉發到 Mac,則可以解決本文中描述的問題。
受感染的 Mac 登入時會收到簡訊...
請隨意詢問。如果我透過使用應用程式產生一次性程式碼來開啟兩階段驗證,則給定的服務不會發送任何簡訊。
如果事情沒有改變,很多服務都需要電話,並將簡訊作為預設選項。所以你被駭的電腦又回來了。
銀行眾多,別無選擇,只有簡訊而已。
我不太清楚這一點。如果有人偷了我的 Mac,我會關閉簡訊、遠端擦除 Mac 並在銀行更改密碼。或有什麼問題?
在閱讀本文之前您會這樣做嗎?
絕對,絕對自動。
但兩階段身份驗證是指攻擊者需要兩次確認:密碼和簡訊。這意味著,如果我擔心有人拿走我配對的 Mac,我不會將密碼儲存在那裡,如果有人破解我的瀏覽器,他們也不會進入 iMessage。
您從哪裡可以保證它不會脫離您的瀏覽器?根據 Pwn4Fun 和 Pwn2Own 目前的結果來看,Safari 至少有兩個零日漏洞:
“在 Pwn4Fun 上,Google 對 Apple Safari 進行了一次非常令人印象深刻的攻擊,在 Mac OS X 上以 root 身份啟動計算器”
」 來自 Keen 團隊的梁晨:
針對 Apple Safari,堆溢出和沙箱繞過,導致代碼執行。”
綠色背景上的細白字-即使是特殊學校的學生也無法提出更好的建議...
阻止這種情況的方法之一是透過加密狗替換代碼產生(例如: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ )安全且安全性更高,KB也需要做類似的事情——上傳一個證書到U盤,沒有這個證書就無法連接網上銀行,再加上有時會向手機發送一次性密碼等...有很多可能性,但每個人都有自己的可能性,她必須決定安全對她是否重要(她是否有密碼?等等)
聯合信貸銀行有一件偉大的事。智慧鑰匙從來都不是傳統的短信,但我在行動應用程式中生成了一個一次性密碼。
我需要諮詢為什麼我突然不能發送mm短視頻了,之前可以發送嗎?沒有選項可以簡單地插入視頻,它不會響應,也不會將其插入到訊息中
謝謝