Ondrej Holzman Obwohl die in OS X Yosemite und iOS 8 eingeführten neuen Funktionen Benutzern viele nützliche Funktionen bieten, die die Verwendung mehrerer Geräte vereinfachen, können sie auch ein Sicherheitsrisiko darstellen. Wenn Sie beispielsweise Textnachrichten von einem iPhone an einen Mac weiterleiten, wird die zweistufige Verifizierung bei der Anmeldung bei verschiedenen Diensten ganz einfach umgangen.
Die Reihe der Continuity-Funktionen, mit denen Apple Computer mit mobilen Geräten in den neuesten Betriebssystemen verbindet, ist sehr interessant, insbesondere im Hinblick auf die Netzwerke und Techniken, die sie verwenden, um iPhones und iPads mit Macs zu verbinden. Kontinuität umfasst die Möglichkeit, von einem Mac aus Anrufe zu tätigen, Dateien über AirDrop zu senden oder schnell einen Hotspot zu erstellen, aber jetzt konzentrieren wir uns auf die Weiterleitung normaler SMS an Computer.
Diese relativ unauffällige, aber sehr nützliche Funktion kann im schlimmsten Fall zu einer Sicherheitslücke werden, die es einem Angreifer ermöglicht, bei der Anmeldung bei ausgewählten Diensten an Daten für die zweite Verifizierungsphase zu gelangen. Die Rede ist hier vom sogenannten Zwei-Phasen-Login, der neben Banken bereits von vielen Internetdiensten eingeführt wird und deutlich sicherer ist, als wenn man ein nur durch ein klassisches und einmaliges Passwort geschütztes Konto hat.
Die zweistufige Verifizierung kann auf unterschiedliche Weise erfolgen. Wenn wir jedoch über Online-Banking und andere Internetdienste sprechen, stoßen wir am häufigsten auf die Zusendung eines Verifizierungscodes an Ihre Telefonnummer, den Sie dann neben der Eingabe Ihres regulären Passworts eingeben müssen. Wenn also jemand Ihr Passwort (oder Ihren Computer inklusive Passwort oder Zertifikat) in die Hände bekommt, benötigt er in der Regel Ihr Mobiltelefon, um sich beispielsweise beim Internetbanking anzumelden, wo eine SMS mit dem Passwort für die zweite Verifizierungsphase eingeht .
Aber sobald Sie alle Ihre Textnachrichten von Ihrem iPhone an Ihren Mac weitergeleitet haben und ein Angreifer Ihren Mac übernimmt, benötigt er Ihr iPhone nicht mehr. Um klassische SMS-Nachrichten weiterzuleiten, ist keine direkte Verbindung zwischen iPhone und Mac nötig – sie müssen sich nicht im selben WLAN-Netzwerk befinden, WLAN muss nicht einmal eingeschaltet sein, genau wie Bluetooth, Und alles, was Sie brauchen, ist, beide Geräte mit dem Internet zu verbinden. Der SMS-Relay-Dienst, wie die Weiterleitung von Nachrichten offiziell genannt wird, kommuniziert über das iMessage-Protokoll.
In der Praxis funktioniert es so: Obwohl die Nachricht als normale SMS bei Ihnen eintrifft, verarbeitet Apple sie als iMessage und überträgt sie über das Internet an den Mac (so funktionierte es mit iMessage vor der Einführung von SMS Relay). , wo es als SMS angezeigt wird, was durch eine grüne Blase angezeigt wird. iPhone und Mac können sich jeweils in einer anderen Stadt befinden, lediglich beide Geräte benötigen eine Internetverbindung.
Sie können den Nachweis, dass SMS Relay nicht über WLAN oder Bluetooth funktioniert, auch auf folgende Weise erhalten: Aktivieren Sie den Flugmodus auf Ihrem iPhone und schreiben und senden Sie eine SMS auf einem mit dem Internet verbundenen Mac. Trennen Sie dann den Mac vom Internet und verbinden Sie umgekehrt das iPhone damit (mobiles Internet reicht). Die SMS wird versendet, obwohl die beiden Geräte noch nie direkt miteinander kommuniziert haben – dafür sorgt das iMessage-Protokoll.
Daher muss bei der Verwendung der Nachrichtenweiterleitung berücksichtigt werden, dass die Sicherheit der Zwei-Faktor-Authentifizierung gefährdet ist. Für den Fall, dass Ihr Computer gestohlen wird, ist die sofortige Deaktivierung der Nachrichtenübermittlung die schnellste und einfachste Möglichkeit, potenzielle Hackerangriffe auf Ihre Konten zu verhindern.
Der Zugang zum Internet-Banking ist bequemer, wenn Sie den Bestätigungscode nicht vom Display des Telefons neu schreiben müssen, sondern ihn einfach aus Nachrichten auf dem Mac kopieren müssen, aber die Sicherheit ist in diesem Fall viel wichtiger, was aufgrund von SMS Relay stark mangelt . Eine Lösung für dieses Problem könnte beispielsweise die Möglichkeit sein, auf dem Mac bestimmte Nummern von der Weiterleitung auszuschließen, da die SMS-Codes in der Regel von denselben Nummern stammen.
Wie im letzten Absatz erwähnt, ist die Möglichkeit, den Code zu kopieren, viel bequemer und besser.
Außerdem – wenn jemand mein MacBook stiehlt, blockiere ich es als Erstes und schalte alle „Weiterleitungen“ und Kontinuität auf dem iPhone aus – deshalb gibt es diese Option auch in den Einstellungen / Nachrichten. :) :)
Und wenn es Ihnen jemand anhängt, stoppen Sie es dann auch?
Und wozu eine zweistufige Autorisierung, wenn man das gestohlene Gerät doch gleich sperren kann?
Bei der Zwei-Schritt-Verifizierung handelt es sich um einen Drittanbieterdienst, daher kann ich ihn zumindest bei Banken kaum nutzen oder ignorieren. Und ich blockiere oder lösche meinen Mac über „Meinen Mac suchen“. Die Vorteile der SMS-Weiterleitung überwiegen, wenn ich nicht hinter allem den Teufel sehe.
Niemand kümmert sich um Diebstahl, die vollständige Festplattenverschlüsselung löst dieses Problem. Aber was machen Sie mit einem gehackten Computer? Wahrscheinlich nichts, Sie werden es nicht wissen.
Nun, natürlich überwiegen die Vorteile, niemand sieht den Teufel und der Benutzer tauscht Sicherheit immer gegen ein tanzendes Schwein.
Haben Sie übrigens den Eindruck, dass die Banken Sie nur zum Spaß zum SMS-Versand zwingen?
Wenn sich jemand Sorgen macht, verwenden Sie es nicht. Ich bin äußerst zufrieden damit
Und wer in Kombination mit 2FA keine Bedenken hat, nutzt es erst gar nicht, weil er offensichtlich nicht weiß, was er tut.
Und wie schließe ich eine bestimmte Nummer auf dem Macbook aus und belasse sie auf dem iPhone? Danke für die Antwort
AFAIK ist die beste Option: „Deaktivieren Sie die Weiterleitung von Textnachrichten unter „Nachrichten“ in den Einstellungen (auf Ihrem iPhone).“
Wenn ich mich nicht irre, ist es nicht möglich, auf die Whitelist zu setzen, was weitergeleitet werden soll, und auch nicht auf die Blacklist zu setzen, was nicht weitergeleitet werden soll.
Ist es nicht einfacher, ein Handy zu stehlen als einen Mac? Ja, Sie können ein Passwort für Mobilgeräte, aber auch für MAC haben. Ich bin kein Experte, aber es ist wahrscheinlich nicht einfach, an den Mac zu gelangen, wenn ich das Passwort nicht kenne (ich meine nicht, um die Daten zu lesen, sondern um mich einzuloggen, damit das SMS-Relay startet).
Vergessen Sie auch nicht, dass es sich um doppelte Sicherheit handelt, bei der die erste Phase die wichtigste ist – die Eingabe des zu respektierenden Passworts, und wenn Sie es nicht auf dem MAC oder in einem Textdokument darin geschrieben haben, dann gibt es das kein Zugang zur Bank (und Sie verwenden nicht 1111 als Passwort :-))
Der tatsächliche Preis des Mac wird also wahrscheinlich der größte Schaden sein, der Ihnen durch den Diebstahl des Mac entsteht.
2FA löst keinen primären Mac- oder IP-Diebstahl. Die Lösung besteht darin, dass der Angreifer die Kontrolle über den Mac und etwas anderes erlangen muss. Der Mac reicht ihm jetzt. Coz macht alle Vorteile von 2FA zunichte.
(Der Ratschlag lautet, sich vor der Variante „Angreifer auf dem Mac kontrolliert nur den Browser“ zu schützen, bei der es sich wahrscheinlich nicht um eine vollständig kontrollierte Situation handelt.)
Es ist nur so: Wenn Sie den Mac für absolut sicher halten (haha), müssen Sie sich nicht mit 2FA auseinandersetzen. Und wenn nicht, dann bietet 2FA Ihnen nicht mehr die erhöhte Sicherheit, wie z. B. Drive.
Und noch einmal, sehr anschaulich – Sie gehen auf die Website „nicnebezpecneho.cz“, die aufgrund unglücklicher Umstände gefährlich ist. Das kann Ihnen ganz leicht passieren – Sie müssen nicht sofort auf Pornoseiten gehen, es reicht aus, wenn jemand den Blog, den Sie besuchen, nicht sichert und unbereinigtes Javascript in die Kommentare einfügt. Auf dieser Seite gibt es einen Remote-Exploit für Ihren Browser (das kann Ihnen trotzdem passieren, nichts sehr Ungewöhnliches). Oder lassen Sie sich in Social Engineering verwickeln ...
...nach ein paar Stunden senden Sie Geld von der Bank (Sie melden sich bei Gmail, Github... an). Dabei geben Sie die Anmeldedaten in den bereits kompromittierten Computer ein (oder müssen das nicht einmal tun, wenn Sie diese Passwörter gespeichert haben) und kopieren und fügen den Code aus der SMS einmalig ein.
..und nachts meldet sich Ihr Computer von selbst bei der Bank (gmail...) an, das Passwort wurde bereits von jemandem mit Schadsoftware gespeichert. Sie erhalten keine Bestätigungs-SMS auf Ihr Mobiltelefon, aber... in diesen kompromittierten Computer.
2FA hat genau diese Szenarien gelöst. Bis Apple es kaputt gemacht hat.
Ich dachte, dass 2FA bedeutet, dass ich mich durch zwei Dinge beweisen muss, zum Beispiel:
- Passwort
– mit einem Telefon, das SMS akzeptiert
Nun, durch die Weiterleitung von SMS an den Mac an das Telefon wird alternativ auch der Mac (oder mehrere Mac und iPad, die ich gekoppelt habe) hinzugefügt, aber es ist immer noch 2FA. Oder nicht?
Noch einmal: Unter normalen Umständen löst 2FA Situationen wie „Mein Mac ist gehackt und ich weiß nichts davon“. Denn dann können Sie davon ausgehen, dass der Mac Ihr Passwort für den Dienst kennt (dass Sie es bereits gespeichert haben oder es beim nächsten Anmelden beim Dienst abhören werden). Und jetzt können Sie davon ausgehen, dass er auch SMS kennt (oder er kann jederzeit danach fragen und erhält sie).
Die meisten Dienste, die eine Zwei-Faktor-Authentifizierung anbieten (Facebook, Dropbox, Google, Microsoft, …), ermöglichen die Generierung von Einmalpasswörtern über eine App (ich verwende Google Authenticator). Die Anwendung generiert ständig zeitlich begrenzte Codes für registrierte Dienste. Der Code kann sofort kopiert und zum Login verwendet werden. Sie müssen nicht auf das Eintreffen der SMS warten und, wenn diese an den Mac weitergeleitet werden, das im Artikel beschriebene Problem lösen.
Kompromittierte Macs erhalten beim Anmelden SMS-Nachrichten ...
Fragen Sie gerne danach. Wenn ich die zweistufige Verifizierung mit der Generierung eines Einmalcodes über die Anwendung aktiviert habe, versendet der jeweilige Dienst keine SMS.
Wenn sich nichts geändert hat, wollten viele Dienste das Telefon und beließen SMS als Standardoption. Ihr gehackter Computer ist also zurück.
Bei vielen Banken gibt es keine Wahl, nur eine SMS und das wars.
Ich verstehe das nicht ganz klar. Wenn jemand meinen Mac stiehlt, schalte ich SMS aus, lösche den Mac aus der Ferne und ändere das Passwort bei der Bank. Oder wo ist der Haken?
Würden Sie das tun, bevor Sie diesen Artikel lesen?
Absolut, absolut automatisch.
Bei der Zwei-Phasen-Authentifizierung geht es jedoch darum, dass der Angreifer zwei Bestätigungen benötigt: PASSWORT UND SMS. Das heißt, wenn ich befürchte, dass mir jemand meinen gekoppelten Mac wegnimmt, speichere ich das Passwort nicht dort, und wenn jemand meinen Browser hackt, gelangt er nicht in iMessage.
Woher bekommen Sie die Gewissheit, dass es nicht aus Ihrem Browser ausbricht? Nach den aktuellen Ergebnissen von Pwn4Fun und Pwn2Own sieht es so aus, als ob es mindestens zwei Nulltage für Safari gibt:
„Bei Pwn4Fun lieferte Google einen sehr beeindruckenden Exploit gegen Apple Safari, indem es Calculator als Root unter Mac OS X startete.“
„Von Liang Chen vom Keen Team:
Bei Apple Safari kam es zu einem Heap-Überlauf zusammen mit einer Sandbox-Umgehung, was zur Codeausführung führte.“
Dünner weißer Schriftzug auf grünem Grund – besser hätte es nicht einmal ein Förderschüler vorschlagen können...
Eine Möglichkeit, dies zu verhindern, besteht darin, die Codegenerierung über einen Dongle zu ersetzen (zum Beispiel dieses: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) sicher ist und eine höhere Sicherheit ermöglicht, muss KB auch etwas Ähnliches tun – ein auf einen USB-Datenträger hochgeladenes Zertifikat, ohne das eine Person keine Verbindung zum Internetbanking herstellen kann, außerdem wird manchmal ein Einmalpasswort an das Telefon gesendet usw ... Es gibt viele Möglichkeiten, aber jeder hat seine eigenen. Sie muss entscheiden, ob ihr Sicherheit wichtig ist (ob sie ein Passwort hat oder nicht? usw.)
Unicredit hat eine tolle Sache. Der Smart Key ist nie eine klassische SMS, sondern ich erstelle in der mobilen Anwendung ein Einmalpasswort.
Ich brauche einen Rat, warum ich plötzlich kein mm-Kurzvideo mehr versenden kann, was bisher möglich war? Es gibt keine Möglichkeit, einfach ein Video einzufügen, es antwortet nicht, es wird nicht in die Nachricht eingefügt
danke