Ondrej Holzman Embora os novos recursos introduzidos no OS X Yosemite e no iOS 8 tragam muitos recursos úteis aos usuários que simplificam o uso de vários dispositivos, eles também podem representar uma ameaça à segurança. Por exemplo, encaminhar mensagens de texto de um iPhone para um Mac ignora facilmente a verificação em duas etapas ao fazer login em vários serviços.
O conjunto de funções de Continuidade, dentro das quais a Apple conecta computadores com dispositivos móveis nos sistemas operacionais mais recentes, é muito interessante, principalmente no que diz respeito às redes e técnicas que utilizam para conectar iPhones e iPads a Macs. A continuidade inclui a capacidade de fazer chamadas de um Mac, enviar arquivos via AirDrop ou criar rapidamente um ponto de acesso, mas agora vamos nos concentrar no encaminhamento de SMS regulares para computadores.
Esta função relativamente discreta, mas muito útil, pode, na pior das hipóteses, transformar-se numa falha de segurança que permite a um invasor obter dados para a segunda fase de verificação ao fazer login em serviços selecionados. Estamos falando aqui do chamado login bifásico, que, além dos bancos, já está sendo introduzido por muitos serviços de internet e é muito mais seguro do que se você tivesse uma conta protegida apenas por uma senha clássica e única.
A verificação em duas fases pode ocorrer de diferentes maneiras, mas quando falamos sobre serviços bancários on-line e outros serviços da Internet, geralmente encontramos o envio de um código de verificação para o seu número de telefone, que você deve inserir depois de inserir sua senha normal. Portanto, se alguém conseguir sua senha (ou computador incluindo senha ou certificado), normalmente precisará do seu celular, por exemplo, para fazer login no internet banking, onde chegará um SMS com a senha da segunda fase de verificação .
Mas no momento em que todas as suas mensagens de texto são encaminhadas do iPhone para o Mac e um invasor assume o controle do seu Mac, ele não precisa mais do seu iPhone. Para encaminhar mensagens SMS clássicas, não é necessária nenhuma conexão direta entre o iPhone e o Mac - eles não precisam estar na mesma rede Wi-Fi, o Wi-Fi nem precisa estar ligado, assim como o Bluetooth, e tudo o que é necessário é conectar os dois dispositivos à internet. O serviço SMS Relay, como é oficialmente chamado o encaminhamento de mensagens, se comunica através do protocolo iMessage.
Na prática, funciona é que embora a mensagem chegue até você como um SMS normal, a Apple a processa como um iMessage e a transfere pela Internet para o Mac (era assim que funcionava com o iMessage antes do advento do SMS Relay) , onde é exibido como um SMS, indicado por um balão verde. O iPhone e o Mac podem estar em cidades diferentes, apenas os dois dispositivos precisam de conexão com a Internet.
Você também pode obter provas de que o SMS Relay não funciona via Wi-Fi ou Bluetooth da seguinte maneira: ative o modo avião no seu iPhone e escreva e envie um SMS em um Mac conectado à Internet. Em seguida, desconecte o Mac da Internet e, ao contrário, conecte o iPhone a ele (basta internet móvel). O SMS é enviado mesmo que os dois dispositivos nunca tenham se comunicado diretamente - tudo é garantido pelo protocolo iMessage.
Assim, ao utilizar o encaminhamento de mensagens, é necessário ter em mente que a segurança da autenticação de dois fatores fica comprometida. Caso seu computador seja roubado, desabilitar as mensagens imediatamente é a maneira mais rápida e fácil de evitar possíveis hackers em suas contas.
Entrar no Internet banking é mais conveniente se você não precisar reescrever o código de verificação na tela do telefone, mas apenas copiá-lo do Mensagens no Mac, mas a segurança é muito mais importante neste caso, o que falta muito devido ao SMS Relay . Uma solução para este problema poderia ser, por exemplo, a possibilidade de excluir números específicos do encaminhamento no Mac, uma vez que os códigos SMS geralmente vêm dos mesmos números.
Conforme mencionado no último parágrafo, a capacidade de copiar o código é muito mais conveniente e melhor.
Além disso - se alguém roubar meu MacBook, a primeira coisa que faço é bloqueá-lo e desligar todos os "encaminhamentos" e Continuidade do iPhone - é por isso que também existe essa opção em Ajustes/Mensagens. :)
E se alguém fisgar isso em você, você também para?
E por que ter autorização em duas etapas quando você pode bloquear o aparelho roubado na hora, hein?
A verificação em duas etapas é um serviço de terceiros, por isso dificilmente posso deixar de utilizá-lo ou ignorá-lo, pelo menos no caso dos bancos. E eu bloqueio ou excluo meu Mac por meio do Find my Mac. Os benefícios do encaminhamento de SMS superam se eu não vejo o diabo por trás de tudo.
Ninguém se importa com roubo, a criptografia completa do disco resolve isso. Mas o que você vai fazer com um computador hackeado? Provavelmente nada, você não saberá disso.
Bom, claro que as vantagens prevalecem, ninguém vê o diabo e o usuário sempre troca segurança por um porco dançante.
Aliás, você tem a impressão de que os bancos estão te obrigando a enviar SMS só por diversão?
se alguém estiver preocupado, não use. Estou extremamente satisfeito com isso
E quem não se preocupa com a combinação do 2FA nem usa, porque obviamente não sabe o que está fazendo.
E como excluo um número específico no Macbook e deixo no iPhone? Obrigado pela resposta
AFAIK, a melhor opção é "desativar o encaminhamento de mensagens de texto em Mensagens em Ajustes (do seu iPhone)."
Se não me engano, não é possível colocar na lista branca o que deve ser encaminhado, nem na lista negra o que não deve ser encaminhado.
Bem, não é mais fácil roubar um celular do que um Mac? Sim, você pode ter uma senha para celular, mas também para MAC. Não sou especialista, mas provavelmente não será fácil acessar o Mac se não souber a senha (não pretendo ler os dados, mas sim fazer login para que a retransmissão de SMS seja iniciada).
Além disso, não se esqueça que estamos falando de dupla segurança, onde a primeira fase é a principal - inserir a senha para honrar e se não tiver ela escrita no MAC ou em algum documento de texto dentro, então há sem acesso ao banco (e você não usa 1111 como senha :-))
Portanto, roubar um Mac provavelmente causará o maior dano devido ao preço real do Mac.
2FA não resolve roubo primário de Mac ou IP. A solução é que o invasor obtenha o controle do Mac e de outra coisa. O Mac é suficiente para ele agora. Coz nega todos os benefícios do 2FA.
(O conselho é proteger-se contra a variante "o invasor no Mac controla apenas o navegador", o que provavelmente não é uma situação totalmente controlada.)
Só que se você considera o Mac totalmente seguro (haha), então você não precisa lidar com 2FA. E se não, então o 2FA parou de trazer aquele aumento de segurança, como o drive.
E mais uma vez, de forma muito vívida - você acessa o site "nicnebezpecneho.cz", que é perigoso devido a um conjunto infeliz de circunstâncias. Isso pode acontecer com você com bastante facilidade - você não precisa ir a sites pornográficos imediatamente, basta que alguém não proteja o blog que você está visitando e deixe javascript não higienizado ser inserido nos comentários. Há uma exploração remota para o seu navegador nessa página (isso ainda pode acontecer com você, nada muito incomum). Ou se envolver em engenharia social...
...depois de algumas horas você vai enviar dinheiro do banco (você faz login no gmail, github...). Ao fazer isso, você insere os dados de login no computador já comprometido (ou nem precisa fazer isso se tiver essas senhas salvas) e copia e cola o código do SMS uma vez.
..e à noite, seu computador entra no banco (gmail...) sozinho, a senha já foi salva por alguém com malware. Você não receberá um SMS de confirmação no seu celular, mas... naquele computador comprometido.
2FA resolveu exatamente esses cenários. Até que a Apple o quebrou.
Achei que 2FA significa que tenho que provar meu valor por meio de 2 coisas, por exemplo:
- senha
– com um telefone que aceita SMS
Bem, encaminhar SMS do Mac para o telefone também adiciona o Mac (ou mais Mac e iPad que emparelhei) como alternativa, mas ainda é 2FA. Ou não?
Mais uma vez - em circunstâncias normais, o 2FA resolve situações como “meu Mac foi hackeado e não sei disso”. Porque então você pode presumir que o Mac conhece sua senha do serviço (que você já a salvou ou irá ouvi-la na próxima vez que fizer login no serviço). E agora você pode esperar que ele também conheça o SMS (ou pode solicitá-lo a qualquer momento e receberá).
A maioria dos serviços que oferecem autenticação de dois fatores (Facebook, Dropbox, Google, Microsoft,…) permitem a geração de senhas de uso único usando um aplicativo (eu uso o Google Authenticator). O aplicativo gera constantemente códigos por tempo limitado para serviços registrados. O código pode ser copiado imediatamente e usado para fazer login. Você não precisa esperar a chegada dos SMS e, caso sejam encaminhados para o Mac, resolva o problema descrito no artigo.
Macs comprometidos recebem mensagens SMS ao fazer login...
Sinta-se à vontade para pedir isso. Se eu habilitei a verificação em duas fases com a geração de um código único pelo aplicativo, o serviço fornecido não envia nenhum SMS.
Se algo não mudou, muitos serviços queriam o telefone e deixaram o SMS como opção padrão. Então seu computador hackeado está de volta.
Com um grande número de bancos não há escolha, basta um SMS e pronto.
Eu não entendo isso muito claramente. Se alguém roubar meu Mac, desativo o SMS, limpo remotamente o Mac e altero a senha no banco. Ou qual é o problema?
Você faria isso antes de ler este artigo?
Absolutamente, absolutamente automaticamente.
Mas a autenticação em duas fases se refere ao fato de que o invasor precisa de duas confirmações: SENHA E SMS. Isso significa que se tenho medo de que alguém leve meu Mac emparelhado, não guardo a senha lá e, se alguém hackear meu navegador, não entrará no iMessage.
Onde você consegue a garantia de que ele não sairá do seu navegador? De acordo com os resultados atuais do Pwn4Fun e Pwn2Own, parece que há pelo menos dois dias zero para o Safari:
"Na Pwn4Fun, o Google entregou uma exploração muito impressionante contra o Apple Safari, lançando a Calculadora como root no Mac OS X"
"Por Liang Chen da equipe Keen:
Contra o Apple Safari, um heap overflow junto com um desvio de sandbox, resultando na execução de código."
Letras brancas finas sobre fundo verde - nem mesmo um aluno de uma escola especial poderia ter sugerido melhor...
Uma das maneiras de impedir isso é substituir a geração de código por meio de um dongle (por exemplo: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) é seguro e permite maior segurança, KB também precisa fazer algo semelhante - um certificado carregado em um disco USB, sem o qual uma pessoa não pode se conectar ao Internet banking, e às vezes uma senha de uso único é enviada para o telefone, etc. ... São muitas possibilidades, mas cada um tem a sua ela tem que decidir se a segurança é importante para ela (se ela tem senha ou não? etc.)
O Unicredit tem uma coisa ótima. A chave inteligente nunca é um SMS clássico, mas eu gero uma senha de uso único no aplicativo móvel.
Preciso de conselhos sobre por que de repente não consigo enviar um vídeo curto, o que era possível até agora? Não tem opção de simplesmente inserir um vídeo, ele não responde, não insere na mensagem
obrigado