Ondrej Holzman Meskipun fitur-fitur baru yang diperkenalkan di OS X Yosemite dan iOS 8 menghadirkan banyak fitur berguna bagi pengguna yang menyederhanakan penggunaan beberapa perangkat, fitur-fitur tersebut juga dapat menimbulkan ancaman keamanan. Misalnya, meneruskan pesan teks dari iPhone ke Mac dengan sangat mudah melewati verifikasi dua langkah saat masuk ke berbagai layanan.
Rangkaian fungsi Kontinuitas, di mana Apple menghubungkan komputer dengan perangkat seluler di sistem operasi terbaru, sangat menarik, terutama dalam hal jaringan dan teknik yang mereka gunakan untuk menghubungkan iPhone dan iPad ke Mac. Kontinuitas mencakup kemampuan untuk melakukan panggilan dari Mac, mengirim file melalui AirDrop, atau membuat hotspot dengan cepat, namun sekarang kami akan fokus meneruskan SMS biasa ke komputer.
Fungsi yang relatif tidak mencolok namun sangat berguna ini, dalam kasus terburuk, dapat berubah menjadi lubang keamanan yang memungkinkan penyerang memperoleh data untuk tahap verifikasi kedua saat masuk ke layanan yang dipilih. Di sini kita berbicara tentang apa yang disebut login dua fase, yang, selain bank, sudah diperkenalkan oleh banyak layanan internet dan jauh lebih aman dibandingkan jika Anda memiliki akun yang hanya dilindungi oleh kata sandi klasik dan tunggal.
Verifikasi dua fase dapat dilakukan dengan cara yang berbeda, tetapi ketika kita berbicara tentang perbankan online dan layanan internet lainnya, kita paling sering menemukan pengiriman kode verifikasi ke nomor telepon Anda, yang kemudian harus Anda masukkan di samping memasukkan kata sandi biasa Anda. Oleh karena itu, jika seseorang mengetahui kata sandi Anda (atau komputer termasuk kata sandi atau sertifikat), biasanya mereka memerlukan ponsel Anda, misalnya untuk masuk ke internet banking, di mana SMS berisi kata sandi untuk verifikasi tahap kedua akan tiba. .
Namun saat semua pesan teks Anda diteruskan dari iPhone ke Mac Anda dan penyerang mengambil alih Mac Anda, mereka tidak lagi membutuhkan iPhone Anda. Untuk meneruskan pesan SMS klasik, tidak diperlukan sambungan langsung antara iPhone dan Mac - keduanya tidak harus berada di jaringan Wi-Fi yang sama, Wi-Fi bahkan tidak harus dihidupkan, seperti halnya Bluetooth, dan yang diperlukan hanyalah menghubungkan kedua perangkat ke internet. Layanan SMS Relay, sebutan resmi untuk penerusan pesan, berkomunikasi melalui protokol iMessage.
Dalam praktiknya, cara kerjanya adalah meskipun pesan sampai kepada Anda sebagai SMS biasa, Apple memprosesnya sebagai iMessage dan mentransfernya melalui Internet ke Mac (begitulah cara kerjanya dengan iMessage sebelum munculnya SMS Relay) , yang menampilkannya sebagai SMS, yang ditandai dengan gelembung hijau . iPhone dan Mac masing-masing bisa berada di kota yang berbeda, hanya saja kedua perangkat tersebut memerlukan koneksi Internet.
Anda juga bisa mendapatkan bukti bahwa SMS Relay tidak berfungsi melalui Wi-Fi atau Bluetooth dengan cara berikut: aktifkan mode pesawat di iPhone Anda dan tulis serta kirim SMS di Mac yang terhubung ke Internet. Kemudian putuskan sambungan Mac dari Internet dan, sebaliknya, sambungkan iPhone ke sana (internet seluler sudah cukup). SMS terkirim meski kedua perangkat tidak pernah berkomunikasi secara langsung – semuanya dijamin oleh protokol iMessage.
Oleh karena itu, saat menggunakan penerusan pesan, perlu diingat bahwa keamanan otentikasi dua faktor terganggu. Jika komputer Anda dicuri, segera menonaktifkan perpesanan adalah cara tercepat dan termudah untuk mencegah potensi peretasan akun Anda.
Memasuki Internet banking lebih nyaman ketika Anda tidak perlu menulis ulang kode verifikasi dari tampilan ponsel, tetapi cukup menyalinnya dari Pesan di Mac, tetapi keamanan jauh lebih penting dalam hal ini, yang sangat kurang karena Relai SMS . Solusi untuk masalah ini bisa berupa, misalnya, kemungkinan untuk mengecualikan nomor tertentu dari penerusan di Mac, karena kode SMS biasanya berasal dari nomor yang sama.
Seperti disebutkan di paragraf terakhir, kemampuan untuk menyalin kode jauh lebih nyaman dan lebih baik.
Selain itu - jika seseorang mencuri MacBook saya, hal pertama yang saya lakukan adalah memblokirnya dan mematikan semua "penerusan" dan Kontinuitas di iPhone - itulah mengapa ada juga opsi ini di Pengaturan / Pesan. :)
Dan jika seseorang mengaitkannya kepada Anda, apakah Anda juga menghentikannya?
Dan mengapa harus melakukan otorisasi dua langkah ketika Anda dapat langsung memblokir perangkat yang dicuri, ya?
Verifikasi dua langkah adalah layanan pihak ketiga, jadi saya tidak bisa tidak menggunakan atau mengabaikannya, setidaknya dalam kasus bank. Dan saya memblokir atau menghapus Mac saya melalui Temukan Mac saya. Manfaat penerusan SMS lebih besar daripada jika saya tidak melihat setan di balik segalanya.
Tidak ada yang peduli dengan pencurian, enkripsi disk penuh menyelesaikannya. Tapi apa yang akan Anda lakukan dengan komputer yang diretas? Mungkin tidak ada apa-apa, Anda tidak akan mengetahuinya.
Tentu saja, keuntungannya menang, tidak ada yang melihat iblis dan pengguna selalu menukar keamanan dengan babi yang menari.
Ngomong-ngomong, apakah Anda mendapat kesan bank memaksa Anda mengirim SMS hanya untuk iseng?
jika ada yang khawatir maka jangan gunakan. Saya sangat puas dengan itu
Dan mereka yang tidak mempunyai kekhawatiran dalam kombinasi dengan 2FA bahkan tidak menggunakannya, karena mereka jelas tidak tahu apa yang mereka lakukan.
Dan bagaimana cara mengecualikan nomor tertentu di Macbook dan membiarkannya di iPhone? Terima kasih balasannya
AFAIK pilihan terbaik adalah "matikan Penerusan Pesan Teks di bawah Pesan di Pengaturan (dari iPhone Anda)."
Kalau tidak salah, tidak mungkin mem-whitelist apa yang harus diteruskan, atau mem-blacklist apa yang tidak.
Nah, bukankah mencuri ponsel lebih mudah daripada Mac? Ya, Anda dapat memiliki kata sandi untuk ponsel, tetapi juga untuk MAC. Saya bukan ahlinya, tapi mungkin tidak mudah untuk mengakses Mac jika saya tidak tahu kata sandinya (saya tidak bermaksud membaca datanya, tapi login agar relai SMS dimulai).
Juga, jangan lupa bahwa kita berbicara tentang keamanan ganda, di mana fase pertama adalah yang utama - memasukkan kata sandi untuk menghormati dan jika Anda tidak menuliskannya di MAC atau di beberapa dokumen teks di dalamnya, maka ada tidak ada akses ke bank (dan Anda tidak menggunakan 1111 sebagai kata sandi :-))
Jadi, mencuri Mac mungkin akan menyebabkan kerusakan terbesar bagi Anda karena harga sebenarnya dari Mac tersebut.
2FA tidak menyelesaikan pencurian Mac atau IP utama. Solusinya adalah penyerang harus menguasai Mac dan hal lainnya. Mac sudah cukup baginya sekarang. Karena meniadakan semua manfaat 2FA.
(Sarannya adalah untuk melindungi terhadap varian "penyerang di Mac hanya mengontrol browser", yang mungkin bukan situasi yang sepenuhnya terkendali.)
Hanya saja jika Anda menganggap Mac benar-benar aman (haha), maka Anda tidak perlu berurusan dengan 2FA. Dan jika tidak, maka 2FA berhenti memberikan Anda peningkatan keamanan, seperti berkendara.
Dan sekali lagi, dengan sangat jelas - Anda membuka situs web "nicnebezpecneho.cz", yang berbahaya karena serangkaian keadaan yang tidak menguntungkan. Hal ini dapat terjadi pada Anda dengan cukup mudah - Anda tidak harus langsung membuka situs porno, cukup seseorang tidak mengamankan blog yang Anda kunjungi dan membiarkan javascript yang tidak bersih dimasukkan ke dalam komentar. Ada eksploitasi jarak jauh untuk browser Anda di halaman itu (ini masih bisa terjadi pada Anda, bukan hal yang aneh). Atau terjebak dalam rekayasa sosial...
...setelah beberapa jam Anda pergi untuk mengirim uang dari bank (Anda masuk ke gmail, github...). Dengan melakukannya, Anda memasukkan data login ke komputer yang sudah disusupi (atau Anda bahkan tidak perlu melakukan itu jika Anda menyimpan kata sandi ini) dan menyalin dan menempelkan kode dari SMS satu kali.
..dan pada malam hari, komputer Anda login ke bank (gmail...) dengan sendirinya, kata sandinya telah disimpan oleh seseorang yang memiliki malware. Anda tidak akan menerima SMS konfirmasi di ponsel Anda, tetapi... ke dalam komputer yang disusupi itu.
2FA memecahkan skenario ini dengan tepat. Sampai Apple memecahkannya.
Saya pikir 2FA artinya saya harus membuktikan diri dengan 2 hal, misalnya:
– kata sandi
– dengan telepon yang menerima SMS
Nah, meneruskan SMS ke Mac ke ponsel juga menambahkan Mac (atau lebih banyak Mac dan iPad yang sudah saya pasangkan) sebagai alternatif, tapi tetap 2FA. Atau tidak?
Sekali lagi - dalam keadaan normal, 2FA menyelesaikan situasi seperti "Mac saya diretas dan saya tidak mengetahuinya". Karena dengan demikian Anda dapat berasumsi bahwa Mac mengetahui kata sandi Anda untuk layanan tersebut (Anda sudah menyimpannya atau akan mendengarkannya saat berikutnya Anda masuk ke layanan). Dan sekarang Anda dapat berharap dia juga mengetahui SMS (atau dia dapat memintanya kapan saja dan dia akan menerimanya).
Sebagian besar layanan yang menawarkan autentikasi dua faktor (Facebook, Dropbox, Google, Microsoft,…) mengizinkan pembuatan kata sandi satu kali menggunakan aplikasi (saya menggunakan Google Authenticator). Aplikasi ini terus-menerus menghasilkan kode berbatas waktu untuk layanan terdaftar. Kode dapat langsung disalin dan digunakan untuk login. Anda tidak perlu menunggu SMS tiba dan, jika diteruskan ke Mac, selesaikan masalah yang dijelaskan dalam artikel.
Mac yang disusupi memiliki pesan SMS saat masuk...
Jangan ragu untuk menanyakan hal itu. Jika saya telah mengaktifkan verifikasi dua fase dengan pembuatan kode satu kali menggunakan aplikasi, maka layanan yang diberikan tidak mengirimkan SMS apa pun.
Jika sesuatu tidak berubah, banyak layanan menginginkan telepon dan membiarkan SMS sebagai opsi default. Jadi komputer Anda yang diretas telah kembali.
Dengan jumlah bank yang banyak, tidak ada pilihan, cukup SMS saja.
Saya tidak memahami hal ini dengan jelas. Jika seseorang mencuri Mac saya, saya mematikan SMS, menghapus Mac dari jarak jauh dan mengubah kata sandi di bank. Atau apa masalahnya?
Apakah Anda akan melakukan itu sebelum membaca artikel ini?
Tentu saja, sepenuhnya otomatis.
Tetapi otentikasi dua fase berarti penyerang memerlukan dua konfirmasi: kata sandi dan SMS. Artinya jika saya takut seseorang akan mengambil Mac pasangan saya, saya tidak menyimpan kata sandi di sana, dan jika seseorang meretas browser saya, mereka tidak akan masuk ke iMessage.
Di mana Anda mendapatkan jaminan bahwa itu tidak akan keluar dari browser Anda? Berdasarkan hasil Pwn4Fun dan Pwn2Own saat ini, sepertinya ada setidaknya dua hari nol untuk Safari:
"Di Pwn4Fun, Google memberikan eksploitasi yang sangat mengesankan terhadap Apple Safari yang meluncurkan Kalkulator sebagai root pada Mac OS X"
"Oleh Liang Chen dari Tim Keen:
Terhadap Apple Safari, heap overflow bersama dengan bypass sandbox, mengakibatkan eksekusi kode."
Tulisan putih tipis dengan latar belakang hijau - bahkan murid sekolah luar biasa pun tidak bisa menyarankannya dengan lebih baik...
Salah satu cara untuk menghentikan hal ini adalah dengan mengganti pembuatan kode melalui dongle (misalnya ini: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) aman dan memungkinkan keamanan yang lebih tinggi, KB juga perlu melakukan hal serupa - sertifikat diunggah ke disk USB, yang tanpanya seseorang tidak dapat terhubung ke internet banking, ditambah terkadang kata sandi satu kali dikirimkan ke telepon, dll. ... Ada banyak kemungkinan, tetapi setiap orang memiliki kemungkinannya sendiri. Dia harus memutuskan apakah keamanan penting baginya (apakah dia memiliki kata sandi atau tidak? dll.)
Unicredit memiliki hal yang hebat. Kunci pintar tidak pernah datang melalui SMS klasik, tapi saya membuat kata sandi satu kali di aplikasi seluler.
Saya butuh saran kenapa tiba-tiba saya tidak bisa mengirim video pendek mm, yang mungkin sampai sekarang? Tidak ada pilihan untuk sekedar menyisipkan video, tidak merespon, tidak menyisipkan ke dalam pesan
terima kasih