Ondřej Holzman Představené novinky v OS X Yosemite a iOS 8 sice přináší spoustu pro uživatele spoustu užitečných funkcí, které zjednoduší používání více zařízení, ale zároveň mohou představovat bezpečnostní hrozbu. Například přeposílání textových zpráv z iPhonu na Mac velice snadno obejde dvoufázové ověření při přihlašování do různých služeb.
Soubor funkcí Continuity, v rámci kterých Apple v nejnovějších operačních systémech propojuje počítače s mobilními zařízení, je velice zajímavý, a to zejména z hlediska sítí a technik, které pro propojení iPhonů a iPadů s Macy využívají. Mezi Continuity patří možnost telefonování z Macu, posílání souborů přes AirDrop či rychlé vytváření hotspotu, ale nyní se zaměříme na přeposílání běžných SMS na počítače.
Tato relativně nenápadná, leč velice užitečná funkce, se totiž může v nejhorším případě proměnit v bezpečnostní díru, která umožní útočníkovi získat údaje pro druhou ověřovací fázi při přihlašování do vybraných služeb. Mluvíme tu o tzv. dvoufázovém přihlašování, které již vedle bank zavádí i mnoho internetových služeb a je mnohem bezpečnější, než když máte účet chráněný jen klasickým a jediným heslem.
Dvoufázové ověření může probíhat různě, ale mluvíme-li o internetových bankovnictvích a dalších internetových službách, nejčastěji se setkáme s odesláním ověřovacího kódu na vaše telefonní číslo, které následně musíte vložit vedle zadání vašeho běžného hesla. Když by se tedy někdo zmocnil vašeho hesla (či počítače včetně hesla či certifikátu), obvykle bude například pro přihlášení k internetovému bankovnictví potřebovat ještě váš mobilní telefon, kam dorazí SMS s heslem pro druhou fázi ověření.
Jenže ve chvíli, kdy si necháváte veškeré textové zprávy přeposílat z iPhonu na Mac a útočník se právě vašeho Macu zmocní, váš iPhone již nepotřebuje. K přeposílání klasických SMS zpráv totiž není třeba žádné přímé spojení mezi iPhone a Macem – nemusí být na stejné Wi-Fi síti, dokonce ani nemusí být Wi-Fi zapnutá, stejně tak Bluetooth, a jediné, co je potřeba, je připojení obou zařízení k internetu. Služba SMS Relay, jak se přeposílání zpráv oficiálně jmenuje, totiž komunikuje přes protokol iMessage.
V praxi to funguje tak, že ačkoliv vám zpráva dorazí jako běžná SMS, Apple ji zpracuje jako iMessage a přes internet ji přenese do Macu (tak to s iMessage fungovalo ještě před příchodem SMS Relay), kde ji zobrazí jako SMS, což signalizuje zelená bublina. iPhone a Mac tak může být každý v jiném městě, jen obě zařízení potřebují připojení k internetu.
Důkaz, že SMS Relay nefunguje přes Wi-Fi ani Bluetooth, můžete získat i následujícím způsobem: na iPhonu aktivujte režim letadlo a na Macu připojeném k internetu napište a odešlete SMS. Mac následně odpojte od internetu a naopak k němu připojte iPhone (stačí mobilní internet). SMS se odešle i přesto, že spolu obě zařízení přímo nikdy nekomunikovala – všechno zajistí protokol iMessage.
Při využívání přeposílání zpráv je tak nutné mít na paměti, že bezpečnost dvoufázového ověřování je ohrožena. Ve chvíli, kdy by vám byl odcizen počítač, je třeba okamžitě deaktivovat přeposílání zpráv, což je v tu chvíli nejrychlejší a nejjednodušší způsob, jak zamezit potenciálnímu vloupání se do vašich účtů.
Vstupování do internetového bankovnictví je sice pohodlnější, když nemusíte ověřovací kód přepisovat z displeje telefonu, ale jen ho zkopírovat ze Zpráv na Macu, ale mnohem důležitější je v tomto případě bezpečnost, která kvůli SMS Relay značně strádá. Řešením tohoto problému by mohla být například možnost vyloučení konkrétních čísel z přeposílání na Mac, protože SMS kódy zpravidla přicházejí ze stejných čísel.
Jak je zmíněno v posledním odstavci – možnost kód zkopírovat je mnohem pohodlnější a lepší.
Navíc – pokud mi někdo ukradne MacBook, první co bude, že ho zablokuju, a v iPhonu všechno „přeposílání“ a Continuity vypnu – od toho také v Nastavení / Zprávy tato možnost je. :)
A když ti ho někdo naháčkuje, taky si ho odstavíš?
A proč vlastně mít dvoufázovou autorizaci, když ti ukradené zařízení můžeš hned blokovat, he?
Dvoufázové ověřování je služba třetí strany tak jí těžko můžu nepoužívat nebo ignorovat aspoň v případě bank. A Mac si zablokuji nebo smažu přes Find my Mac. Výhody přeposílání SMS převažují pokud za vším nevidím čerta.
O krádeži se nikdo nebaví, to řeší full disk encryption. Ale co budeš dělat z naháčkovaným počítačem? Asi nic, nebudeš o tom vědět.
No jo, výhody samozřejmě převažují, čerta nikdo nevidí a uživatel vždycky vymění bezpečnost za tancující prase.
Mimochodem máš dojem, že ti banky tu SMSku nutí jen tak z plezíru?
pokud někdo má obavy, tak ať to nepoužívá. Já jsem s tím maximálně spokojený
A ten, kdo nema v kombinaci s 2FA obavy, tak at nepouziva, protoze ocividne nevi, co dela.
A jak vyloučím konkrétní číslo na macbooku a nechám ho na iPhonu ? Díky za odpověď
AFAIK nejlepsi je ted „switch off Text Messages Forwarding under Messages in Settings (from your iPhone).“
Pokud se nepletu, tak neni moznost whitelistovat, co se ma preposilat, ani blacklistovat, co ne.
No a neni jednodušší ukradnout mobil nez maca? Ano mobilu můžete mít heslo, ale to MACovi také. Nejsem odborník, ale neni asi úplně jednoduché se dostat no maca, když neznám heslo (nemyslím přečíst si data, ale přihlásit se, aby se SMS relay rozběhl).
Dále také nezapomínejte ze se bavíme o dvojnasobnem zabezpečení u nějž je hlavní ta prvni fáze – zadaní hesla k uctu a pokud ho nemáte napsané na MACovi anebo v nějakém textovém dokumentu uvnitř tak přístup k bance neni ( a nepoužíváte jako heslo 1111 :-))
Tak krádeži maca bude asi největší skoda vám způsobena pravé cena toho maca.
2FA neresi primarne kradez Maca nebo iP. Resi to, ze utocnik musi dostat pod kontrolu Maca a navic jeste neco. Ted mu staci ten Mac. Coz popira vsechny vyhody 2FA.
(Porad to jeste chrani pred variantou „utocnik na Macovi ovlada jenom browser“, coz asi neni uplne kyzeny stav.)
Proste pokud povazujes Mac za totalne bezpecny (haha), tak nemusis resit 2FA. A kdyz ne, tak ti 2FA prestala prinaset to zvyseni bezpecnosti, jako driv.
A jeste jednou, velmi nazorne – vlezes na stranku „nicnebezpecneho.cz“, ktera nestastnou schodou okolnosti je nebezpecna. To se ti muze stat celkem snadno – nemusis hned jit na pornoweby, staci aby nekdo poradne nezabezpecil svuj blogisek, na ktery vstupujes a nechal si tam vrazit do komentaru nesanitovany javascript. Na te strance je remote expoloit pro tvuj browser (to se ti stale muze stat, porad nic velmi neobvykleho). Nebo se nachytas na socialni inzenyrstvi…
…po par hodinach jdes poslat penize z banky (prihlasujes se ke gmailu, githubu…). Pri tom zadavas prihlasovaci udaje do jiz kompromitovaneho pocitace (nebo nemusis delat ani to, pokud mas zrovna tahle hesla ulozena) a copypastnes one time kod ze SMSky.
..a v noci pote se tvuj pocitac prihlasi do banky (gmailu…) sam, heslo uz ma malware nekdo ulozene. Potvrzovaci SMS ti nejprijde na mobil, ale…. do toho kompromitovaneho pocitace.
Presne tyhle scenare 2FA resila. Nez ji Apple rozbil.
Ja jsem myslel, ze 2FA znamena, ze se musim prokazat 2 vecmi, napriklad:
– heslem
– telefonem, ktery prijme SMS
No a preposilani SMS na Mac k tomu telefonu jeste pridava jako alternativu ten mac (nebo vic macu a iPadu, ktere mam zparovane), ale porad je to 2FA. Nebo ne?
Jeste jednou – za beznych okolnosti 2FA resi i situace typu „muj Mac je hacknuty a nevim o tom“. Protoze tehdy muzes predpokladat, ze Mac tvoje heslo ke sluzbe zna (at uz ho mas ulozene nebo si ho poslechne pri dalsim prihlaseni do sluzby). A ted muzes cekat, ze bude znat i SMS (resp. muze si o ni kdykoli pozadat a dostane ji).
Většina služeb, které nabízí dvoufázové ověřování (Facebook, Dropbox, Google, Microsoft, …) umožňují jednorázová hesla generovat pomocí aplikace (používám Google Authenticator). Aplikace neustále generuje časově omezené kódy pro zaregistrované služby. Kód lze ihned opsat a použít k přihlášení. Nemusíte čekat, než dorazí SMS a v případě jejich přeposílání na Mac řešit v článku popsaný problém.
Kompromitovany mac si pri prihlaseni pozada o SMSku….
To ať si klidně zažádá. Pokud mám zapnuté dvoufázové ověření s generováním jednorázového kódu pomocí aplikace, tak daná služba žádné SMS nerozesílá.
Pokud se neco nezmenilo, tak hodne sluzeb chtelo telefon a nechat SMS jako zalozni variantu. Takze si nahackovany pocitac zazada.
U velkeho mnozstvi bank ani na vyber neni, proste SMS a basta.
Tohle úplně jasně nechápu. Když mi někdo ukradne Mac, tak vypnu sms, na dálku smažu mac a změním heslo v bance. Nebo v čem je ten háček?
Udělal bys to před přečtením tohoto článku?
Určitě, naprosto automaticky.
Ale dvoufázová autentizace je přece o tom, že útočník potřebuje dvě potvrzení: HESLO A SMS. To znamená, že pokud mám strach že mi někdo vezme napárovaný Mac neukládám tam heslo a pokud mi někdo nabourá browser nedostane se do iMessage.
Kde beres jistotu, ze se ti z browseru neproboura ven? Podle aktualnich vysledku Pwn4Fun a Pwn2Own to vypada, ze existuji minimalne dva zero days pro Safari:
„At Pwn4Fun, Google delivered a very impressive exploit against Apple Safari launching Calculator as root on Mac OS X“
„By Liang Chen of Keen Team:
Against Apple Safari, a heap overflow along with a sandbox bypass, resulting in code execution.“
Tenke biele pismo na zelenom pozadi – lepsie by to ani ziak osobitnej skoly nenavrhol…
Jedna z možností jak tohle zastavit je nahradit generování kodu pres nejaky dongle (napriklad tohle: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) bezpecne to je a umoznuje to vyssi bezpecnost, neco podobneho delava treba i KB – certifikat nahrany na usb disk, bez ktereho se clovek nepripoji na internetbanking, plus obcas se mu posle jednorazove heslo na telefon atp… Tech moznosti je hodne, ale kazdy si musi rozhodnout jestli je pro nej bezpecnost dulezita (jestli ma maca na heslo a nebo ne? atp)
Super věc má unicredit. Smartklíč kdy nechodí klasická smska ale jednorázové heslo si vygeneruju v mobilní aplikaci.
Potřebuji radu proc mi najednou nejde odeslat mmskou krátké video , ktere bylo doteď mozné? Není tam možnost proste vložit video , nereaguje to ne nevklada to do zprávy
Děkuji