翁德雷·霍尔兹曼 尽管 OS X Yosemite 和 iOS 8 中引入的新功能为用户带来了许多有用的功能,简化了多个设备的使用,但它们也可能带来安全威胁。例如,在登录各种服务时,将短信从 iPhone 转发到 Mac 很容易绕过两步验证。
苹果公司在最新操作系统中将计算机与移动设备连接起来的一组连续性功能非常有趣,特别是在它们用于将 iPhone 和 iPad 连接到 Mac 的网络和技术方面。连续性包括从 Mac 拨打电话、通过 AirDrop 发送文件或快速创建热点的能力,但现在我们将专注于将常规短信转发到计算机。
这个相对不起眼但非常有用的功能在最坏的情况下可能会变成一个安全漏洞,允许攻击者在登录选定的服务时获取第二验证阶段的数据。我们在这里讨论的是所谓的两阶段登录,除了银行之外,许多互联网服务已经引入了这种登录方式,并且比您拥有仅受经典单一密码保护的帐户要安全得多。
两阶段验证可以通过不同的方式进行,但是当我们谈论网上银行和其他互联网服务时,我们最常遇到的情况是向您的电话号码发送验证码,然后您必须在输入常规密码后输入该验证码。因此,如果有人掌握了您的密码(或包括密码或证书的计算机),他们通常需要您的手机,例如登录网上银行,其中会收到包含第二阶段验证密码的短信。
但是,一旦您将所有短信从 iPhone 转发到 Mac,并且攻击者接管了您的 Mac,他们就不再需要您的 iPhone。为了转发经典的短信,iPhone和Mac之间不需要直接连接——它们不必位于同一个Wi-Fi网络上,甚至不需要打开Wi-Fi,就像蓝牙一样,所需要做的就是将两台设备连接到互联网。 SMS 中继服务(消息转发的正式名称)通过 iMessage 协议进行通信。
实际上,它的工作方式是,虽然消息以普通 SMS 的形式发送给您,但 Apple 将其作为 iMessage 进行处理,并通过互联网将其传输到 Mac(这就是 SMS Relay 出现之前 iMessage 的工作方式) ,将其显示为短信,由绿色气泡表示。 iPhone 和 Mac 可以位于不同的城市,只是两台设备都需要互联网连接。
您还可以通过以下方式获得短信中继无法通过 Wi-Fi 或蓝牙工作的证据:在 iPhone 上激活飞行模式,并在连接到互联网的 Mac 上编写和发送短信。然后断开Mac与互联网的连接,相反,将iPhone连接到它(移动互联网就足够了)。即使两个设备从未直接相互通信,也会发送短信 - 一切都由 iMessage 协议确保。
因此,在使用消息转发时,有必要牢记双因素身份验证的安全性受到损害。如果您的计算机被盗,立即禁用消息传递是防止您的帐户遭到潜在黑客攻击的最快、最简单的方法。
如果您不必从手机显示屏上重写验证码,而只需从Mac上的消息中复制验证码,则进入网上银行会更方便,但在这种情况下,安全性更为重要,而由于短信中继,安全性大大缺乏。例如,解决此问题的方法可能是在 Mac 上排除特定号码的转发,因为 SMS 代码通常来自相同的号码。
正如上一段所述 - 复制代码的能力更加方便和更好。
此外 - 如果有人偷了我的 MacBook,我做的第一件事就是阻止它并关闭 iPhone 上的所有“转发”和连续性 - 这就是为什么“设置/消息”中也有这个选项。 :)
如果有人把它挂在你身上,你也会阻止它吗?
当您可以立即阻止被盗设备时,为什么还要进行两步授权呢?
两步验证是第三方服务,所以我很难不使用它或忽略它,至少对于银行来说是这样。我通过“查找我的 Mac”来阻止或删除我的 Mac。如果我没有看到一切背后的魔鬼,那么短信转发的好处就超过了。
没有人关心盗窃,全盘加密解决了这个问题。但是你要如何处理被黑的计算机呢?可能没什么,你不会知道的。
好吧,当然,优势占上风,没有人看到魔鬼,用户总是用安全来换取跳舞的猪。
顺便问一下,您是否有这样的印象:银行强迫您发送短信只是为了好玩?
如果有人担心那就不要使用它。我对此非常满意
那些不关心 2FA 组合的人甚至不会使用它,因为他们显然不知道自己在做什么。
如何在 Macbook 上排除特定号码并将其保留在 iPhone 上?谢谢回复
据我所知,最好的选择是“在“设置”中的“消息”下关闭“短信转发(从您的 iPhone)”。
如果我没记错的话,不可能将应该转发的内容列入白名单,也不会将不应转发的内容列入黑名单。
那么,偷手机不是比偷 Mac 更容易吗?是的,您可以为移动设备设置密码,也可以为 MAC 设置密码。我不是专家,但如果我不知道密码,那么访问Mac可能并不容易(我的意思不是读取数据,而是登录以便启动短信中继)。
另外,不要忘记我们正在谈论双重安全性,其中第一阶段是主要阶段 - 输入要遵守的密码,如果您没有将其写在 MAC 上或内部的某些文本文档中,那么就会有无法访问银行(并且您不使用 1111 作为密码:-))
因此,由于 Mac 的真实价格,偷窃 Mac 可能会给您带来最大的损失。
2FA 不能解决主要的 Mac 或 IP 盗窃问题。解决方案是攻击者必须控制 Mac 和其他东西。现在 Mac 对他来说已经足够了。 Coz 否定了 2FA 的所有好处。
(建议是防止“Mac 上的攻击者仅控制浏览器”变体,这可能不是完全受控的情况。)
只是如果你认为 Mac 是完全安全的(哈哈),那么你就不必处理 2FA。如果没有,那么 2FA 就不再为您带来更高的安全性,例如驾驶。
还有一次,非常生动地 - 您访问了网站“nicnebezpecneho.cz”,由于一系列不幸的情况,该网站是危险的。这种情况很容易发生在您身上 - 您不必立即访问色情网站,只要有人不保护您正在访问的博客并让未经消毒的 JavaScript 插入到评论中就足够了。该页面上有针对您的浏览器的远程攻击(这种情况仍然可能发生在您身上,没什么不寻常的)。或者陷入社会工程......
...几个小时后,您从银行汇款(您登录 gmail、github...)。这样做时,您将登录数据输入到已经受感染的计算机中(或者如果您保存了这些密码,您甚至不必这样做),然后从短信中复制并粘贴代码一次。
..晚上,您的计算机自行登录银行(gmail...),密码已被带有恶意软件的人保存。您的手机不会收到确认短信,但是...进入那台受感染的计算机。
2FA 正是解决了这些场景。直到苹果打破了它。
我认为2FA意味着我必须通过两件事来证明自己,例如:
- 密码
– 使用接受短信的手机
好吧,将 Mac 的短信转发到手机也会添加 Mac(或我已配对的更多 Mac 和 iPad)作为替代方案,但它仍然是 2FA。或不?
再说一次 - 在正常情况下,2FA 可以解决诸如“我的 Mac 被黑客入侵而我不知道”之类的情况。因为这样你就可以假设 Mac 知道你的服务密码(你已经保存了密码,或者会在你下次登录服务时监听它)。现在你可以期望他也知道短信(或者他可以随时询问并且他会收到)。
大多数提供双因素身份验证的服务(Facebook、Dropbox、Google、Microsoft 等)都允许使用应用程序生成一次性密码(我使用 Google Authenticator)。该应用程序不断为注册服务生成限时代码。该代码可以立即复制并用于登录。您不必等待短信到达,如果它们被转发到 Mac,则可以解决本文中描述的问题。
受感染的 Mac 登录时会收到短信...
请随意询问。如果我通过使用应用程序生成一次性代码来打开两阶段验证,则给定的服务不会发送任何短信。
如果事情没有改变,很多服务都需要电话,并将短信作为默认选项。所以你被黑的电脑又回来了。
银行众多,别无选择,只有短信而已。
我不太清楚这一点。如果有人偷了我的 Mac,我会关闭短信、远程擦除 Mac 并在银行更改密码。或者有什么问题?
在阅读本文之前您会这样做吗?
绝对,绝对自动。
但两阶段身份验证是指攻击者需要两次确认:密码和短信。这意味着,如果我担心有人拿走我配对的 Mac,我不会将密码存储在那里,并且如果有人破解我的浏览器,他们也不会进入 iMessage。
您从哪里可以保证它不会脱离您的浏览器?根据 Pwn4Fun 和 Pwn2Own 目前的结果来看,Safari 至少存在两个零日漏洞:
“在 Pwn4Fun 上,Google 对 Apple Safari 进行了一次非常令人印象深刻的攻击,在 Mac OS X 上以 root 身份启动计算器”
” 来自 Keen 团队的梁晨:
针对 Apple Safari,堆溢出和沙箱绕过,导致代码执行。”
绿色背景上的细白字——即使是特殊学校的学生也无法提出更好的建议......
阻止这种情况的方法之一是通过加密狗替换代码生成(例如: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ )安全而且安全性更高,KB也需要做类似的事情——上传一个证书到U盘,没有这个证书就无法连接网上银行,再加上有时会向手机发送一次性密码等...有很多可能性,但每个人都有自己的可能性,她必须决定安全对她是否重要(她是否有密码?等等)
联合信贷银行有一件伟大的事情。智能钥匙从来都不是传统的短信,但我在移动应用程序中生成了一个一次性密码。
我需要咨询一下为什么我突然不能发送mm短视频了,之前可以发送吗?没有选项可以简单地插入视频,它不会响应,也不会将其插入到消息中
谢谢