أوندريج هولزمان على الرغم من أن الميزات الجديدة المقدمة في OS X Yosemite وiOS 8 توفر الكثير من الميزات المفيدة للمستخدمين والتي تعمل على تبسيط استخدام أجهزة متعددة، إلا أنها يمكن أن تشكل أيضًا تهديدًا أمنيًا. على سبيل المثال، تؤدي إعادة توجيه الرسائل النصية من جهاز iPhone إلى جهاز Mac إلى تجاوز عملية التحقق المكونة من خطوتين بسهولة شديدة عند تسجيل الدخول إلى خدمات متنوعة.
تعتبر مجموعة وظائف الاستمرارية، التي تقوم Apple من خلالها بربط أجهزة الكمبيوتر بالأجهزة المحمولة بأحدث أنظمة التشغيل، مثيرة للاهتمام للغاية، خاصة فيما يتعلق بالشبكات والتقنيات التي تستخدمها لربط أجهزة iPhone وiPad بأجهزة Mac. تتضمن الاستمرارية القدرة على إجراء مكالمات من جهاز Mac، أو إرسال الملفات عبر AirDrop أو إنشاء نقطة اتصال بسرعة، ولكننا سنركز الآن على إعادة توجيه الرسائل القصيرة العادية إلى أجهزة الكمبيوتر.
يمكن لهذه الوظيفة غير الواضحة نسبيًا ولكنها مفيدة جدًا، في أسوأ الحالات، أن تتحول إلى ثغرة أمنية تسمح للمهاجم بالحصول على بيانات لمرحلة التحقق الثانية عند تسجيل الدخول إلى خدمات محددة. نحن نتحدث هنا عن ما يسمى بتسجيل الدخول على مرحلتين، والذي، بالإضافة إلى البنوك، يتم تقديمه بالفعل بواسطة العديد من خدمات الإنترنت وهو أكثر أمانًا مما لو كان لديك حساب محمي فقط بكلمة مرور كلاسيكية ومفردة.
يمكن أن يتم التحقق على مرحلتين بطرق مختلفة، ولكن عندما نتحدث عن الخدمات المصرفية عبر الإنترنت وخدمات الإنترنت الأخرى، فإننا غالبًا ما نواجه إرسال رمز التحقق إلى رقم هاتفك، والذي يتعين عليك بعد ذلك إدخاله بجانب إدخال كلمة المرور العادية. لذلك، إذا حصل شخص ما على كلمة المرور الخاصة بك (أو جهاز الكمبيوتر بما في ذلك كلمة المرور أو الشهادة)، فسوف يحتاج عادةً إلى هاتفك المحمول، على سبيل المثال، لتسجيل الدخول إلى الخدمات المصرفية عبر الإنترنت، حيث ستصل رسالة نصية قصيرة تحتوي على كلمة المرور للمرحلة الثانية من التحقق .
ولكن في اللحظة التي تتم فيها إعادة توجيه جميع رسائلك النصية من جهاز iPhone إلى جهاز Mac الخاص بك ويسيطر أحد المهاجمين على جهاز Mac الخاص بك، فلن يعود بحاجة إلى جهاز iPhone الخاص بك. من أجل إعادة توجيه رسائل SMS الكلاسيكية، لا يلزم وجود اتصال مباشر بين iPhone وMac - ليس من الضروري أن يكونا على نفس شبكة Wi-Fi، ولا يلزم حتى تشغيل Wi-Fi، تمامًا مثل Bluetooth، وكل ما هو مطلوب هو توصيل كلا الجهازين بالإنترنت. تتواصل خدمة SMS Relay، كما يُطلق عليها رسميًا إعادة توجيه الرسائل، عبر بروتوكول iMessage.
من الناحية العملية، طريقة العمل هي أنه على الرغم من وصول الرسالة إليك كرسالة نصية قصيرة عادية، إلا أن Apple تعالجها كرسالة iMessage وتنقلها عبر الإنترنت إلى جهاز Mac (هذه هي الطريقة التي كانت تعمل بها iMessage قبل ظهور خدمة SMS Relay) ، حيث يتم عرضها كرسالة نصية قصيرة (SMS)، والتي يشار إليها بفقاعة خضراء. يمكن أن يكون كل من iPhone وMac في مدينة مختلفة، لكن كلا الجهازين فقط يحتاجان إلى اتصال بالإنترنت.
يمكنك أيضًا الحصول على دليل على أن SMS Relay لا يعمل عبر Wi-Fi أو Bluetooth بالطريقة التالية: قم بتنشيط وضع الطائرة على جهاز iPhone الخاص بك وكتابة وإرسال رسالة نصية قصيرة على جهاز Mac متصل بالإنترنت. ثم افصل جهاز Mac عن الإنترنت، وعلى العكس من ذلك، قم بتوصيل iPhone به (الإنترنت عبر الهاتف المحمول يكفي). يتم إرسال الرسائل القصيرة على الرغم من عدم اتصال الجهازين بشكل مباشر مع بعضهما البعض - يتم ضمان كل شيء من خلال بروتوكول iMessage.
وبالتالي، عند استخدام إعادة توجيه الرسائل، من الضروري أن نأخذ في الاعتبار أن أمان المصادقة الثنائية معرض للخطر. في حالة سرقة جهاز الكمبيوتر الخاص بك، يعد تعطيل المراسلة فورًا هو أسرع وأسهل طريقة لمنع الاختراق المحتمل لحساباتك.
يعد الدخول إلى الخدمات المصرفية عبر الإنترنت أكثر ملاءمة إذا لم تكن مضطرًا إلى إعادة كتابة رمز التحقق من شاشة الهاتف، ولكن فقط قم بنسخه من الرسائل على جهاز Mac، ولكن الأمان أكثر أهمية في هذه الحالة، وهو ما ينقصه بشكل كبير بسبب خدمة SMS Relay . يمكن أن يكون حل هذه المشكلة، على سبيل المثال، إمكانية استبعاد أرقام معينة من إعادة التوجيه على نظام Mac، نظرًا لأن رموز الرسائل القصيرة تأتي عادةً من نفس الأرقام.
كما ذكرنا في الفقرة الأخيرة - تعد القدرة على نسخ الكود أكثر ملاءمة وأفضل.
بالإضافة إلى ذلك - إذا سرق شخص ما جهاز MacBook الخاص بي، فإن أول شيء أفعله هو حظره وإيقاف تشغيل جميع "إعادة التوجيه" والاستمرارية على iPhone - ولهذا السبب يوجد هذا الخيار أيضًا في الإعدادات / الرسائل. :)
وإذا قام شخص ما بربطه بك، فهل توقفه أيضًا؟
ولماذا يكون لديك ترخيص من خطوتين عندما يمكنك حظر الجهاز المسروق على الفور، هاه؟
إن التحقق بخطوتين عبارة عن خدمة تابعة لجهة خارجية، لذا لا أستطيع أن أستخدمها أو أتجاهلها، على الأقل في حالة البنوك. وأقوم بحظر جهاز Mac الخاص بي أو حذفه عبر Find my Mac. إن فوائد إعادة توجيه الرسائل القصيرة تتفوق إذا لم أرى الشيطان وراء كل شيء.
لا أحد يهتم بالسرقة، التشفير الكامل للقرص يحل هذه المشكلة. ولكن ماذا ستفعل بجهاز الكمبيوتر المخترق؟ ربما لا شيء، لن تعرف عنه.
حسنًا، بالطبع، المزايا هي التي تسود، لا أحد يرى الشيطان والمستخدم دائمًا يستبدل الأمان بخنزير راقص.
بالمناسبة، هل لديك انطباع بأن البنوك تجبرك على إرسال الرسائل القصيرة للمتعة فقط؟
إذا كان أي شخص قلقًا فلا تستخدمه. أنا راضٍ جدًا عن ذلك
وأولئك الذين ليس لديهم مخاوف مع المصادقة الثنائية لا يستخدمونها حتى، لأنهم من الواضح أنهم لا يعرفون ماذا يفعلون.
وكيف أستبعد رقم معين في الماك بوك وأتركه في الأيفون؟ شكرا على الرد
AFAIK الخيار الأفضل هو "إيقاف تشغيل إعادة توجيه الرسائل النصية ضمن الرسائل في الإعدادات (من جهاز iPhone الخاص بك)."
إذا لم أكن مخطئًا، فليس من الممكن إدراج ما يجب إعادة توجيهه في القائمة البيضاء، أو إدراج ما لا ينبغي إعادة توجيهه في القائمة السوداء.
حسنًا، أليست سرقة هاتف محمول أسهل من سرقة جهاز Mac؟ نعم، يمكنك الحصول على كلمة مرور للهاتف المحمول، ولكن أيضًا لجهاز MAC. أنا لست خبيرًا، ولكن ربما ليس من السهل الوصول إلى جهاز Mac إذا كنت لا أعرف كلمة المرور (لا أقصد قراءة البيانات، ولكن تسجيل الدخول حتى يبدأ ترحيل الرسائل القصيرة).
لا تنس أيضًا أننا نتحدث عن الأمان المزدوج، حيث تكون المرحلة الأولى هي المرحلة الرئيسية - إدخال كلمة المرور للتكريم وإذا لم تكن مكتوبة على جهاز MAC أو في بعض المستندات النصية بالداخل، فهناك لا يمكن الوصول إلى البنك (ولا تستخدم 1111 ككلمة مرور :-))
لذا، فإن سرقة جهاز Mac من المحتمل أن تسبب لك أكبر ضرر بسبب السعر الحقيقي لجهاز Mac.
لا تحل تقنية 2FA سرقة أجهزة Mac أو IP الأساسية. الحل هو أن المهاجم يجب أن يتحكم في جهاز Mac وشيء آخر. جهاز Mac يكفيه الآن. كوز ينفي جميع فوائد المصادقة الثنائية.
(النصيحة هي الحماية من البديل "المهاجم على نظام Mac يتحكم في المتصفح فقط"، والذي ربما لا يكون موقفًا خاضعًا للتحكم بشكل كامل.)
إنه فقط إذا كنت تعتبر Mac آمنًا تمامًا (هاها)، فلن تضطر إلى التعامل مع المصادقة الثنائية. وإذا لم يكن الأمر كذلك، فإن المصادقة الثنائية توقفت عن توفير الأمان المتزايد لك، مثل محرك الأقراص.
ومرة أخرى، بشكل واضح للغاية - تذهب إلى موقع "nicnebezpecneho.cz"، وهو موقع خطير بسبب مجموعة من الظروف المؤسفة. يمكن أن يحدث هذا لك بسهولة تامة - ليس عليك الذهاب إلى المواقع الإباحية على الفور، يكفي أن لا يقوم شخص ما بتأمين المدونة التي تزورها ويسمح بإدراج جافا سكريبت غير المعقم في التعليقات. هناك استغلال عن بعد لمتصفحك على تلك الصفحة (لا يزال من الممكن أن يحدث لك هذا، لا يوجد شيء غير عادي). أو الوقوع في الهندسة الاجتماعية ...
...بعد بضع ساعات تذهب لإرسال الأموال من البنك (تقوم بتسجيل الدخول إلى gmail، github...). ومن خلال القيام بذلك، يمكنك إدخال بيانات تسجيل الدخول إلى جهاز الكمبيوتر المخترق بالفعل (أو لا يتعين عليك حتى القيام بذلك إذا كانت كلمات المرور هذه محفوظة لديك) ونسخ ولصق الرمز من الرسالة النصية القصيرة مرة واحدة.
..وفي الليل، يقوم جهاز الكمبيوتر الخاص بك بتسجيل الدخول إلى البنك (gmail...) من تلقاء نفسه، وقد تم بالفعل حفظ كلمة المرور بواسطة شخص لديه برامج ضارة. لن تتلقى رسالة تأكيد على هاتفك المحمول، ولكن... في ذلك الكمبيوتر المخترق.
حلت تقنية 2FA هذه السيناريوهات بالضبط. حتى كسرتها أبل.
اعتقدت أن المصادقة الثنائية تعني أنه يجب علي إثبات نفسي بأمرين، على سبيل المثال:
- كلمة المرور
- بهاتف يقبل الرسائل القصيرة
حسنًا، تؤدي إعادة توجيه الرسائل القصيرة إلى جهاز Mac إلى الهاتف أيضًا إلى إضافة جهاز Mac (أو المزيد من أجهزة Mac وiPad التي قمت بإقرانها) كبديل، لكنها لا تزال 2FA. أم لا؟
مرة أخرى - في ظل الظروف العادية، تحل المصادقة الثنائية (2FA) مواقف مثل "تم اختراق جهاز Mac الخاص بي ولا أعرف شيئًا عن ذلك". لأنه يمكنك بعد ذلك افتراض أن جهاز Mac يعرف كلمة المرور الخاصة بك للخدمة (وأنك قمت بحفظها بالفعل أو ستستمع إليها في المرة التالية التي تقوم فيها بتسجيل الدخول إلى الخدمة). والآن يمكنك أن تتوقع أنه سيعرف أيضًا الرسائل القصيرة (أو يمكنه طلبها في أي وقت وسيستقبلها).
تسمح معظم الخدمات التي توفر المصادقة الثنائية (Facebook، وDropbox، وGoogle، وMicrosoft،...) بإنشاء كلمات مرور لمرة واحدة باستخدام أحد التطبيقات (أستخدم Google Authenticator). يقوم التطبيق باستمرار بإنشاء رموز محدودة المدة للخدمات المسجلة. يمكن نسخ الرمز على الفور واستخدامه لتسجيل الدخول. ليس عليك انتظار وصول الرسائل القصيرة، وإذا تمت إعادة توجيهها إلى جهاز Mac، فقم بحل المشكلة الموضحة في المقالة.
تتلقى أجهزة Mac المخترقة رسائل نصية قصيرة عند تسجيل الدخول...
لا تتردد في طلب ذلك. إذا قمت بتشغيل التحقق على مرحلتين مع إنشاء رمز لمرة واحدة باستخدام التطبيق، فإن الخدمة المقدمة لا ترسل أي رسائل نصية قصيرة.
إذا لم يتغير شيء ما، فإن الكثير من الخدمات أرادت الهاتف وتركت الرسائل القصيرة كخيار افتراضي. لقد عاد جهاز الكمبيوتر الخاص بك الذي تم اختراقه.
مع وجود عدد كبير من البنوك، ليس هناك خيار، مجرد رسالة نصية قصيرة وهذا كل شيء.
أنا لا أفهم هذا بوضوح شديد. إذا سرق شخص ما جهاز Mac الخاص بي، أقوم بإيقاف تشغيل الرسائل القصيرة، ومسح جهاز Mac عن بُعد وتغيير كلمة المرور في البنك. أو ما الفائدة؟
هل ستفعل ذلك قبل قراءة هذا المقال؟
بالتأكيد، تلقائياً تماماً.
لكن المصادقة على مرحلتين تدور حول حقيقة أن المهاجم يحتاج إلى تأكيدين: كلمة المرور والرسائل النصية القصيرة. هذا يعني أنه إذا كنت أخشى أن يأخذ شخص ما جهاز Mac المقترن الخاص بي، فلا أقوم بتخزين كلمة المرور هناك، وإذا اخترق شخص ما متصفحي، فلن يدخل إلى iMessage.
من أين تحصل على الضمان بأنه لن يخرج من متصفحك؟ وفقًا للنتائج الحالية لـ Pwn4Fun وPwn2Own، يبدو أن هناك ما لا يقل عن يومين صفر لمتصفح Safari:
"في Pwn4Fun، قدمت Google استغلالًا مثيرًا للإعجاب للغاية ضد Apple Safari الذي أطلق الآلة الحاسبة كجذر لنظام التشغيل Mac OS X"
"بقلم ليانغ تشن من فريق Keen:
مقابل Apple Safari، هناك تجاوز في الكومة مع تجاوز وضع الحماية، مما يؤدي إلى تنفيذ التعليمات البرمجية."
حروف بيضاء رفيعة على خلفية خضراء - ولا يمكن حتى لتلميذ في مدرسة خاصة أن يقترحها بشكل أفضل...
إحدى الطرق لإيقاف ذلك هي استبدال إنشاء التعليمات البرمجية عبر دونجل (على سبيل المثال: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) إنه آمن ويتيح مستوى أعلى من الأمان، يحتاج KB أيضًا إلى القيام بشيء مماثل - شهادة يتم تحميلها على قرص USB، والتي بدونها لا يمكن لأي شخص الاتصال بالخدمات المصرفية عبر الإنترنت، بالإضافة إلى أنه في بعض الأحيان يتم إرسال كلمة مرور لمرة واحدة إلى الهاتف، وما إلى ذلك ... هناك العديد من الاحتمالات، ولكن لكل شخص إمكانياته الخاصة وعليها أن تقرر ما إذا كان الأمان مهمًا بالنسبة لها (إذا كان لديها كلمة مرور أم لا؟ إلخ)
Unicredit لديه شيء عظيم. المفتاح الذكي ليس رسالة نصية قصيرة كلاسيكية على الإطلاق، لكنني أقوم بإنشاء كلمة مرور لمرة واحدة في تطبيق الهاتف المحمول.
أحتاج إلى نصيحة حول سبب عدم قدرتي فجأة على إرسال مقطع فيديو قصير ملم، وهو ما كان ممكنًا حتى الآن؟ لا يوجد خيار لإدراج مقطع فيديو ببساطة، فهو لا يستجيب ولا يُدرج في الرسالة
Děkuji