Ondrej Holzman Predstavené novinky v OS X Yosemite a iOS 8 síce prinášajú veľa pre užívateľov veľa užitočných funkcií, ktoré zjednodušia používanie viacerých zariadení, ale zároveň môžu predstavovať bezpečnostnú hrozbu. Napríklad preposielanie textových správ z iPhonu na Mac veľmi ľahko zaobíde dvojfázové overenie pri prihlasovaní do rôznych služieb.
Súbor funkcií Continuity, v rámci ktorých Apple v najnovších operačných systémoch prepája počítače s mobilnými zariadeniami, je veľmi zaujímavý, a to najmä z hľadiska sietí a techník, ktoré na prepojenie iPhonov a iPadov s Macmi využívajú. Medzi Continuity patrí možnosť telefonovania z Macu, posielanie súborov cez AirDrop či rýchle vytváranie hotspotu, ale teraz sa zameriame na preposielanie bežných SMS na počítače.
Táto relatívne nenápadná, ale veľmi užitočná funkcia, sa totiž môže v najhoršom prípade premeniť na bezpečnostnú dieru, ktorá umožní útočníkovi získať údaje pre druhú overovaciu fázu pri prihlasovaní do vybraných služieb. Hovoríme tu o tzv. dvojfázovom prihlasovaní, ktoré už popri bankách zavádza aj mnoho internetových služieb a je oveľa bezpečnejšie, než keď máte účet chránený len klasickým a jediným heslom.
Dvojfázové overenie môže prebiehať rôzne, ale ak hovoríme o internetových bankovníctvach a ďalších internetových službách, najčastejšie sa stretneme s odoslaním overovacieho kódu na vaše telefónne číslo, ktoré následne musíte vložiť vedľa zadania vášho bežného hesla. Keď by sa teda niekto zmocnil vášho hesla (či počítača vrátane hesla či certifikátu), obvykle bude napríklad na prihlásenie k internetovému bankovníctvu potrebovať ešte váš mobilný telefón, kam dorazí SMS s heslom pre druhú fázu overenia.
Lenže vo chvíli, keď si nechávate všetky textové správy preposielať z iPhonu na Mac a útočník sa práve vášho Macu zmocní, váš iPhone už nepotrebuje. Na preposielanie klasických SMS správ totiž nie je potrebné žiadne priame spojenie medzi iPhone a Macom – nemusí byť na rovnakej Wi-Fi sieti, dokonca ani nemusí byť Wi-Fi zapnutá, rovnako tak Bluetooth, a jediné, čo je potrebné, je pripojenie oboch zariadení k internete. Služba SMS Relay, ako sa preposielanie správ oficiálne volá, totiž komunikuje cez protokol iMessage.
V praxi to funguje tak, že hoci vám správa dorazí ako bežná SMS, Apple ju spracuje ako iMessage a cez internet ju prenesie do Macu (tak to s iMessage fungovalo ešte pred príchodom SMS Relay), kde ju zobrazí ako SMS, čo signalizuje zelená bublina . iPhone a Mac tak môže byť každý v inom meste, len obe zariadenia potrebujú pripojenie na internet.
Dôkaz, že SMS Relay nefunguje cez Wi-Fi ani Bluetooth, môžete získať aj nasledujúcim spôsobom: na iPhonu aktivujte režim lietadlo a na Macu pripojenom k internetu napíšte a odošlite SMS. Mac následne odpojte od internetu a naopak k nemu pripojte iPhone (stačí mobilný internet). SMS sa odošle aj napriek tomu, že spolu obe zariadenia priamo nikdy nekomunikovali – všetko zaistí protokol iMessage.
Pri využívaní preposielania správ je tak nutné mať na pamäti, že bezpečnosť dvojfázového overovania je ohrozená. Vo chvíli, keď by vám bol odcudzený počítač, je potrebné okamžite deaktivovať preposielanie správ, čo je v tej chvíli najrýchlejší a najjednoduchší spôsob, ako zamedziť potenciálnemu vlámaniu sa do vašich účtov.
Vstupovanie do internetového bankovníctva je síce pohodlnejšie, keď nemusíte overovací kód prepisovať z displeja telefónu, ale len ho skopírovať zo Správ na Macu, ale oveľa dôležitejšia je v tomto prípade bezpečnosť, ktorá kvôli SMS Relay značne trpí. Riešením tohto problému by mohla byť napríklad možnosť vylúčenia konkrétnych čísel z preposielania na Mac, pretože SMS kódy spravidla prichádzajú z rovnakých čísel.
Ako je spomenuté v poslednom odseku - možnosť kód skopírovať je oveľa pohodlnejšie a lepšie.
Navyše – ak mi niekto ukradne MacBook, prvé čo bude, že ho zablokujem, av iPhone všetko „preposielanie“ a Continuity vypnem – od toho tiež v Nastavenia/Správy táto možnosť je. :)
A keď ti ho niekto naháčik, tiež si ho odstavíš?
A prečo vlastne mať dvojfázovú autorizáciu, keď ti ukradnuté zariadenie môžeš hneď blokovať, he?
Dvojfázové overovanie je služba tretej strany tak ju ťažko môžem nepoužívať alebo ignorovať aspoň v prípade bánk. A Mac si zablokujem alebo zmažem cez Find my Mac. Výhody preposielania SMS prevažujú pokiaľ za všetkým nevidím čerta.
O krádeži sa nikto nebaví, to rieši full disk encryption. Ale čo budeš robiť s naháčkovaným počítačom? Asi nič, nebudeš o tom vedieť.
No áno, výhody samozrejme prevažujú, čerta nikto nevidí a používateľ vždy vymení bezpečnosť za tancujúce prasa.
Mimochodom máš dojem, že tí banky tú SMSku nútia len tak z pleziera?
ak niekto má obavy, tak nech to nepoužíva. Ja som s tým maximálne spokojný
A ten, kto nemá v kombinácii s 2FA obavy, tak nech nepoužíva, pretože očividne nevie, čo robí.
A ako vylúčim konkrétne číslo na macbooku a nechám ho na iPhone? Vďaka za odpoveď
AFAIK najlepšie je teraz „switch off Text Messages Forwarding pod Messages in Settings (from your iPhone).“
Ak sa nepletu, tak nie je moznost whitelistovat, co sa ma preposilať, ani blacklistovat, co nie.
No a nie je jednoduchšie ukradnúť mobil ako maca? Áno mobilu môžete mať heslo, ale to MACovi tiež. Nie som odborník, ale nie je asi úplne jednoduché sa dostať no maca, keď nepoznám heslo (nemyslím prečítať si dáta, ale prihlásiť sa, aby sa SMS relay rozbehol).
Ďalej tiež nezabúdajte, že sa bavíme o dvojnásobnom zabezpečení u ktorého je hlavná tá prvá fáza – zadanie hesla k uctu a pokiaľ ho nemáte napísané na MACovi alebo v nejakom textovom dokumente vnútri tak prístup k banke nie je (a nepoužívate ako heslo 1111 :-))
Tak krádeži maca bude asi najväčšia skoda vám spôsobená pravej cena toho maca.
2FA nerieši primárne kradnutie Maca alebo iP. Rieši to, že útočník musí dostať pod kontrolu Maca a navyše ešte niečo. Teraz mu stačí ten Mac. Čo popiera všetky výhody 2FA.
(Porad to ešte chráni pred variantom „utočník na Macovi ovláda len browser“, čo asi nie je úplne kysnutý stav.)
Proste ak považuješ Mac za totalne bezpečný (haha), tak nemusíš riešiť 2FA. A keď nie, tak ti 2FA prestala prinášať to zvýšenie bezpečnosti, ako predtým.
A ešte raz, veľmi pozorne – vlezieš na stránku „ničnebezpečného.sk“, ktorá nestastnou schodou okolnosti je nebezpečná. To sa ti môže stať celkom ľahko - nemusíš hneď ísť na pornoweby, stačí aby niekto poradne nezabezpečil svoj blogisiek, na ktorý vstupuješ a nechal si tam vraziť do komentára nesanitovaný javascript. Na tejto strane je remote expoloit pre tvoj browser (to sa ti stále môže stať, porad nič veľmi neobvyklé). Alebo sa nachytáš na sociálne inžinierstvo...
…po pár hodinách ideš poslať peniaze z banky (prihlasuješ sa ku gmailu, githubu…). Pri tom zadávaš prihlasovacie údaje do už kompromitovaného počítača (alebo nemôžeš robiť ani to, ak si práve tieto heslá uložené) a copypastnes one time kód zo SMSky.
..a v noci potom sa tvoj počítač prihlási do banky (gmailu…) sam, heslo už má malware niekto uložený. Potvrdzovaciu SMS ti najpríde na mobil, ale…. do toho kompromitovaného pocitaca.
Presne tieto scenáre 2FA riešili. Nez ju Apple rozbil.
Ja som myslel, že 2FA znamená, že sa musím preukázať 2 vecami, napríklad:
– heslom
– telefónom, ktory prijme SMS
No a preposilanie SMS na Mac k tomu telefónu ešte pridáva ako alternatívu ten mac (alebo viac macov a iPadov, ktoré mám sparovane), ale porad je to 2FA. Alebo nie?
Ešte raz – za bežných okolnosti 2FA rieši aj situácia typu „môj Mac je hacknutý a neviem o tom“. Pretože vtedy môžeš predpokladať, že Mac tvoje heslo k službe pozná (či už ho máš uložené alebo si ho vypočuje pri ďalšom prihlásení do služby). A teraz môžem čakať, že bude poznať aj SMS (resp. môže si o ňu kedykoľvek požiadať a dostane ju).
Väčšina služieb, ktoré ponúkajú dvojfázové overovanie (Facebook, Dropbox, Google, Microsoft, …) umožňujú jednorazové heslá generovať pomocou aplikácie (používam Google Authenticator). Aplikácia neustále generuje časovo obmedzené kódy pre zaregistrované služby. Kód je možné ihneď opísať a použiť na prihlásenie. Nemusíte čakať, kým dorazí SMS av prípade ich preposielania na Mac riešiť v článku popísaný problém.
Kompromitovaný mac si pri prihlásení požiada o SMSku….
To nech si pokojne zažiada. Pokiaľ mám zapnuté dvojfázové overenie s generovaním jednorazového kódu pomocou aplikácie, tak daná služba žiadne SMS nerozosiela.
Ak sa niečo nezmenilo, tak veľa sluzieb chcelo telefón a nechať SMS ako zalozit variant. Takže si naháčaný počítač zažiada.
Pri veľkom mnozstve bánk ani na výber nie je, proste SMS a basta.
Toto úplne jasne nechápem. Keď mi niekto ukradne Mac, tak vypnem sms, na diaľku zmažem mac a zmením heslo v banke. Alebo v čom je ten háčik?
Urobil by si to pred prečítaním tohto článku?
Určite, úplne automaticky.
Ale dvojfázová autentizácia je predsa o tom, že útočník potrebuje dve potvrdenia: HESLO A SMS. To znamená, že ak mám strach že mi niekto vezme napárovaný Mac neukladám tam heslo a pokiaľ mi niekto nabúra browser nedostane sa do iMessage.
Kde berieš istotu, že sa ti z browsera neprebúra von? Podľa aktuálnych výsledkov Pwn4Fun a Pwn2Own to vyzerá, že existujú minimálne dva zero days pre Safari:
„At Pwn4Fun, Google delivered a veľmi impressive exploit proti Apple Safari launching Calculator ako root na Mac OS X“
„By Liang Chen of Keen Team:
Against Apple Safari, hromadu cez flow along s sandbox bypass, resulting in code execution.“
Tenké biele písmeno na zelenom pozadí – lepšie by to ani žák osobitnej školy nenavrhol…
Jedna z možností ako toto zastaviť je nahradiť generovanie kodu cez nejaky dongle (napríklad toto: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) bezpečne to je a umožňuje to vyššiu bezpečnosť, niečo podobné robí treba aj KB – certifikovať nahraný na USB disk, bez ktorého sa človek nepripojí na internetbanking, plus občas sa mu posiela jednorazové heslo na telefón atď… Tých možností je veľa, ale každý si musí rozhodnúť, či je pre ňu bezpečnosť dôležitá (či má mačka na heslo alebo nie? atď.)
Super vec má unicredit. Smartkľúč kedy nechodí klasická smska ale jednorazové heslo si vygenerujem v mobilnej aplikácii.
Potrebujem radu prečo mi zrazu nejde odoslať mmskú krátke video, ktoré bolo doteraz možné? Nie je tam možnosť jednoducho vložiť video, nereaguje to nie nevklada to do správy
ďakujem