Ondrej Holzman Aunque las nuevas funciones introducidas en OS X Yosemite e iOS 8 aportan muchas funciones útiles a los usuarios que simplifican el uso de múltiples dispositivos, también pueden representar una amenaza para la seguridad. Por ejemplo, reenviar mensajes de texto desde un iPhone a una Mac omite muy fácilmente la verificación en dos pasos al iniciar sesión en varios servicios.
Es muy interesante el conjunto de funciones de Continuidad, dentro de las cuales Apple conecta ordenadores con dispositivos móviles en los últimos sistemas operativos, sobre todo en cuanto a las redes y técnicas que utilizan para conectar iPhones y iPads a Macs. La continuidad incluye la capacidad de realizar llamadas desde una Mac, enviar archivos mediante AirDrop o crear rápidamente un punto de acceso, pero ahora nos centraremos en reenviar SMS regulares a las computadoras.
Esta función relativamente discreta pero muy útil puede, en el peor de los casos, convertirse en un agujero de seguridad que permite a un atacante obtener datos para la segunda fase de verificación al iniciar sesión en servicios seleccionados. Estamos hablando del llamado inicio de sesión en dos fases, que, además de en los bancos, ya están introduciendo muchos servicios de Internet y es mucho más seguro que si tienes una cuenta protegida únicamente por una contraseña clásica y única.
La verificación en dos fases puede realizarse de diferentes maneras, pero cuando hablamos de banca en línea y otros servicios de Internet, lo más frecuente es que envíemos un código de verificación a su número de teléfono, que luego deberá ingresar junto con su contraseña habitual. Por lo tanto, si alguien consigue su contraseña (o su ordenador, incluida la contraseña o el certificado), normalmente necesitará su teléfono móvil, por ejemplo, para iniciar sesión en la banca por Internet, donde le llegará un SMS con la contraseña para la segunda fase de verificación. .
Pero en el momento en que reenvías todos tus mensajes de texto desde tu iPhone a tu Mac y un atacante se apodera de tu Mac, ya no necesita tu iPhone. Para reenviar mensajes SMS clásicos, no se necesita una conexión directa entre iPhone y Mac: no es necesario que estén en la misma red Wi-Fi, ni siquiera es necesario que Wi-Fi esté activado, al igual que Bluetooth. y todo lo que se necesita es conectar ambos dispositivos a Internet. El servicio SMS Relay, como se llama oficialmente al reenvío de mensajes, se comunica a través del protocolo iMessage.
En la práctica, la forma en que funciona es que, aunque el mensaje llega a usted como un SMS normal, Apple lo procesa como un iMessage y lo transfiere a través de Internet a la Mac (así funcionaba con iMessage antes de la llegada de SMS Relay). , donde lo muestra como un SMS, el cual está indicado con una burbuja verde. iPhone y Mac pueden estar cada uno en una ciudad diferente, solo que ambos dispositivos necesitan una conexión a Internet.
También puedes comprobar que SMS Relay no funciona a través de Wi-Fi o Bluetooth de la siguiente manera: activa el modo avión en tu iPhone y escribe y envía un SMS en un Mac conectado a Internet. Luego desconecte la Mac de Internet y, a la inversa, conecte el iPhone (con Internet móvil es suficiente). El SMS se envía aunque los dos dispositivos nunca se hayan comunicado directamente entre sí: todo está garantizado por el protocolo iMessage.
Así, al utilizar el reenvío de mensajes, es necesario tener en cuenta que la seguridad de la autenticación de dos factores se ve comprometida. En caso de que le roben su computadora, desactivar la mensajería inmediatamente es la forma más rápida y sencilla de evitar posibles ataques a sus cuentas.
Ingresar a la banca por Internet es más conveniente si no es necesario reescribir el código de verificación desde la pantalla del teléfono, sino simplemente copiarlo desde Mensajes en Mac, pero la seguridad es mucho más importante en este caso, lo cual falta en gran medida debido a SMS Relay. . Una solución a este problema podría ser, por ejemplo, la posibilidad de excluir números específicos del reenvío en Mac, ya que los códigos SMS suelen proceder de los mismos números.
Como se mencionó en el último párrafo, la capacidad de copiar el código es mucho más conveniente y mejor.
Además, si alguien roba mi MacBook, lo primero que hago es bloquearlo y desactivar todos los "reenvíos" y Continuidad en el iPhone; por eso también existe esta opción en Configuración/Mensajes. :)
Y si alguien te lo engancha, ¿tú también lo detienes?
¿Y por qué tener una autorización de dos pasos cuando puedes bloquear el dispositivo robado de inmediato, eh?
La verificación en dos pasos es un servicio de terceros, por lo que difícilmente puedo no utilizarla o ignorarla, al menos en el caso de los bancos. Y bloqueo o elimino mi Mac a través de Buscar mi Mac. Los beneficios del reenvío de SMS son mayores si no veo el diablo detrás de todo.
A nadie le importa el robo, el cifrado completo del disco lo soluciona. ¿Pero qué vas a hacer con una computadora pirateada? Probablemente nada, no lo sabrás.
Bueno, por supuesto, las ventajas prevalecen, nadie ve el diablo y el usuario siempre cambia la seguridad por un cerdo bailarín.
Por cierto, ¿tienes la impresión de que los bancos te obligan a enviar SMS sólo por diversión?
Si alguien está preocupado, no lo use. Estoy extremadamente satisfecho con ello.
Y aquellos que no tienen preocupaciones en combinación con 2FA ni siquiera lo usan, porque obviamente no saben lo que están haciendo.
¿Y cómo excluyo un número específico en la Macbook y lo dejo en el iPhone? Gracias por la respuesta
AFAIK, la mejor opción es "desactivar el reenvío de mensajes de texto en Mensajes en Configuración (desde tu iPhone)".
Si no me equivoco, no es posible incluir en la lista blanca lo que se debe reenviar, ni en la lista negra lo que no.
Bueno, ¿no es más fácil robar un móvil que un Mac? Sí, puedes tener una contraseña para el móvil, pero también para MAC. No soy un experto, pero probablemente no sea fácil acceder a la Mac si no conozco la contraseña (no me refiero a leer los datos, sino a iniciar sesión para que se inicie la retransmisión de SMS).
Además, no olvides que estamos hablando de doble seguridad, donde la primera fase es la principal: ingresar la contraseña para honrarla y si no la tienes escrita en la MAC o en algún documento de texto dentro, entonces hay sin acceso al banco (y no usas 1111 como contraseña :-))
Por lo tanto, robar una Mac probablemente le causará el mayor daño debido al precio real de la Mac.
2FA no resuelve el robo primario de Mac o IP. La solución es que el atacante tiene que hacerse con el control del Mac y algo más. La Mac es suficiente para él ahora. Coz niega todos los beneficios de 2FA.
(El consejo es protegerse contra la variante "el atacante en Mac solo controla el navegador", que probablemente no sea una situación completamente controlada).
Es sólo que si consideras que Mac es totalmente seguro (jaja), entonces no tienes que lidiar con 2FA. Y si no, entonces 2FA dejó de brindarle esa mayor seguridad, como drive.
Y una vez más, muy vívidamente, accede al sitio web "nicnebezpecneho.cz", que debido a unas circunstancias desafortunadas es peligroso. Esto te puede pasar muy fácilmente: no tienes que ir a sitios pornográficos de inmediato, es suficiente con que alguien no proteja el blog que estás visitando y permita que se inserte javascript no desinfectado en los comentarios. Hay un exploit remoto para su navegador en esa página (esto todavía le puede pasar a usted, nada muy inusual). O quedar atrapado en la ingeniería social...
...al cabo de unas horas vas a enviar dinero al banco (entras en gmail, github...). Al hacerlo, ingresa los datos de inicio de sesión en la computadora ya comprometida (o ni siquiera tiene que hacerlo si tiene estas contraseñas guardadas) y copia y pega el código del SMS una vez.
..y por la noche, tu computadora inicia sesión en el banco (gmail...) por sí sola, la contraseña ya ha sido guardada por alguien con malware. No recibirás un SMS de confirmación en tu móvil, pero... en esa computadora comprometida.
2FA resolvió exactamente estos escenarios. Hasta que Apple lo rompió.
Pensé que 2FA significa que tengo que demostrar mi valía con 2 cosas, por ejemplo:
- contraseña
– con un teléfono que acepte SMS
Bueno, reenviar SMS a Mac al teléfono también agrega la Mac (o más Mac y iPad que he emparejado) como alternativa, pero sigue siendo 2FA. ¿O no?
Una vez más, en circunstancias normales, 2FA resuelve situaciones como "mi Mac está pirateada y no lo sé". Porque entonces puedes asumir que la Mac conoce tu contraseña para el servicio (que ya la tienes guardada o la escucharás la próxima vez que inicies sesión en el servicio). Y ahora puedes esperar que él también conozca los SMS (o puede solicitarlos en cualquier momento y los recibirá).
La mayoría de los servicios que ofrecen autenticación de dos factores (Facebook, Dropbox, Google, Microsoft,…) permiten generar contraseñas de un solo uso mediante una aplicación (yo uso Google Authenticator). La aplicación genera constantemente códigos de tiempo limitado para los servicios registrados. El código se puede copiar inmediatamente y utilizar para iniciar sesión. No hace falta esperar a que lleguen los SMS y, si se reenvían al Mac, solucionar el problema descrito en el artículo.
Los Mac comprometidos tienen mensajes SMS al iniciar sesión...
No dudes en pedirlo. Si activé la verificación en dos fases con la generación de un código de un solo uso usando la aplicación, entonces el servicio dado no envía ningún SMS.
Si algo no ha cambiado, muchos servicios querían el teléfono y dejaron los SMS como opción predeterminada. Entonces tu computadora pirateada ha regresado.
Con una gran cantidad de bancos no queda otra opción, solo un SMS y listo.
No entiendo esto muy claramente. Si alguien roba mi Mac, desactivo los SMS, borro la Mac de forma remota y cambio la contraseña en el banco. ¿O cuál es el truco?
¿Harías eso antes de leer este artículo?
Absolutamente, absolutamente automáticamente.
Pero la autenticación en dos fases se trata del hecho de que el atacante necesita dos confirmaciones: CONTRASEÑA Y SMS. Esto significa que si tengo miedo de que alguien se lleve mi Mac emparejado, no guardo la contraseña allí, y si alguien piratea mi navegador, no podrá acceder a iMessage.
¿De dónde obtiene la seguridad de que no saldrá de su navegador? Según los resultados actuales de Pwn4Fun y Pwn2Own, parece que hay al menos dos días cero para Safari:
"En Pwn4Fun, Google presentó un exploit muy impresionante contra Apple Safari al iniciar Calculadora como root en Mac OS X"
"Por Liang Chen del equipo Keen:
Contra Apple Safari, se produjo un desbordamiento del montón junto con una omisión de la zona de pruebas, lo que resultó en la ejecución del código".
Letras blancas finas sobre fondo verde: ni siquiera un alumno de una escuela especial podría haberlo imaginado mejor...
Una de las formas de detener esto es reemplazar la generación de código mediante un dongle (por ejemplo, este: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) es seguro y permite una mayor seguridad, KB también necesita hacer algo similar: un certificado cargado en un disco USB, sin el cual una persona no puede conectarse a la banca por Internet, además, a veces se envía una contraseña de un solo uso al teléfono, etc. ... Hay muchas posibilidades, pero cada uno tiene la suya, ella tiene que decidir si la seguridad es importante para ella (¿si tiene contraseña o no? etc.)
Unicredit tiene algo genial. La llave inteligente nunca es un SMS clásico, sino que genero una contraseña de un solo uso en la aplicación móvil.
Necesito consejo sobre por qué de repente no puedo enviar un video corto de mm, lo cual era posible hasta ahora. No hay opción para simplemente insertar un video, no responde, no lo inserta en el mensaje.
Gracias