S3 Ep99: «Επίθεση» TikTok – υπήρξε παραβίαση δεδομένων ή όχι; [Ήχος + Κείμενο]

Κάντε κλικ και σύρετε στα ηχητικά κύματα παρακάτω για να μεταβείτε σε οποιοδήποτε σημείο. Μπορείτε επίσης να ακούστε απευθείας στο Soundcloud.

ΖΥΜΗ.  Zero-days, more zero-days, TikTok, και μια θλιβερή μέρα για την κοινότητα ασφαλείας.

Όλα αυτά και πολλά άλλα, στο podcast του Naked Security.

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]

Καλώς ήρθατε στο podcast του Naked Security, όλοι.

Είμαι ο Doug Aamoth.

Μαζί μου, όπως πάντα, ο Paul Ducklin.

Παύλο, πώς είσαι σήμερα;

---

ΠΑΠΙΑ.  Τα πάω πολύ, πολύ καλά, ευχαριστώ Ντάγκλας!

---

ΖΥΜΗ.  Λοιπόν, ας ξεκινήσουμε την εκπομπή με το τμήμα Ιστορίας Τεχνολογίας.

Είμαι στην ευχάριστη θέση να σας πω: αυτή την εβδομάδα, στις 09 Σεπτεμβρίου 1947, ένας πραγματικός σκόρος βρέθηκε μέσα στον υπολογιστή Mark II του Πανεπιστημίου Χάρβαρντ.

Και παρόλο που η χρήση του όρου «σφάλμα» για να δηλώσει μηχανικές δυσλειτουργίες πιστεύεται ότι χρησιμοποιείται εδώ και χρόνια και χρόνια πριν, πιστεύεται ότι αυτό το περιστατικό οδήγησε στο πλέον πανταχού παρόν «debug».

Γιατί;

Επειδή μόλις ο σκόρος αφαιρέθηκε από το Mark II, κολλήθηκε με ταινία μέσα στο μηχανολογικό ημερολόγιο και έφερε την ετικέτα "Η πρώτη περίπτωση ενός πραγματικού ζωύφιου που βρέθηκε".

Λατρεύω αυτή την ιστορία!

---

ΠΑΠΙΑ.  Κι εγώ!

Νομίζω ότι η πρώτη απόδειξη που έχω δει για αυτόν τον όρο δεν ήταν άλλη από τον Thomas Edison – νομίζω ότι χρησιμοποίησε τον όρο "bugs".

Αλλά φυσικά, από το 1947, ήταν οι πρώτες μέρες των ψηφιακών υπολογιστών, και δεν λειτουργούσαν ακόμη όλοι οι υπολογιστές με βαλβίδες ή σωλήνες, επειδή οι σωλήνες ήταν ακόμα πολύ ακριβοί, ήταν πολύ ζεστοί και απαιτούσαν πολύ ηλεκτρισμό.

Έτσι, αυτός ο υπολογιστής, παρόλο που μπορούσε να κάνει τριγωνομετρία και άλλα, βασίστηκε στην πραγματικότητα σε ρελέ – ηλεκτρομηχανικούς διακόπτες, όχι καθαρούς ηλεκτρονικούς διακόπτες.

Πολύ εκπληκτικό ότι ακόμη και στα τέλη της δεκαετίας του 1940, οι υπολογιστές που βασίζονταν σε αναμετάδοση εξακολουθούσαν να είναι κάτι… αν και δεν επρόκειτο να λειτουργήσουν για πολύ καιρό.

---

ΖΥΜΗ.  Λοιπόν, Παύλο, ας πούμε για το θέμα των ακατάστατων πραγμάτων και των ζωυφίων.

Ένα ακατάστατο πράγμα που ενοχλεί τους ανθρώπους είναι το ζήτημα αυτού του TikTok.

Υπάρχουν παραβιάσεις, και υπάρχουν παραβιάσεις… είναι πράγματι αυτό μια παραβίαση;

---

ΠΑΠΙΑ.  Όπως λες, Ντάγκλας, αυτό έχει γίνει ακατάστατο…

Επειδή ήταν μια τεράστια ιστορία το Σαββατοκύριακο, έτσι δεν είναι;

"Παράβαση TikTok - Τι ήταν πραγματικά;"

Εκ πρώτης όψεως, ακούγεται σαν, «Ουάου, 2 δισεκατομμύρια αρχεία δεδομένων, 1 δισεκατομμύριο χρήστες παραβιάστηκαν, χάκερ μπήκαν» και τι άλλο.

Τώρα, αρκετοί άνθρωποι που ασχολούνται με παραβιάσεις δεδομένων τακτικά, συμπεριλαμβανομένου του Troy Hunt of Έχω βιώσει, έχουν τραβήξει δείγματα στιγμιότυπων των δεδομένων που υποτίθεται ότι έχουν «κλαπεί» και πήγαν να τα αναζητήσουν.

Και η συναίνεση φαίνεται να υποστηρίζει ακριβώς αυτό που είπε η TikTok, δηλαδή ότι αυτά τα δεδομένα είναι ούτως ή άλλως δημόσια.

Αυτό που φαίνεται λοιπόν είναι μια συλλογή δεδομένων, ας πούμε μια τεράστια λίστα βίντεο… που υποθέτω ότι το TikTok πιθανότατα δεν θα ήθελε απλώς να μπορείτε να τα κατεβάσετε μόνοι σας, επειδή θα ήθελαν να περάσετε από την πλατφόρμα , και χρησιμοποιήστε τους συνδέσμους τους και δείτε τη διαφήμισή τους, ώστε να μπορούν να δημιουργήσουν έσοδα από το υλικό.

Ωστόσο, κανένα από τα δεδομένα, κανένα από τα πράγματα στις λίστες δεν φαίνεται να ήταν εμπιστευτικό ή ιδιωτικό για τους χρήστες που επηρεάστηκαν.

Όταν ο Troy Hunt έψαξε και διάλεξε κάποιο τυχαίο βίντεο, για παράδειγμα, αυτό το βίντεο θα εμφανιζόταν κάτω από το όνομα αυτού του χρήστη ως δημόσιο.

Και τα δεδομένα σχετικά με το βίντεο στην "παραβίαση" δεν έγραφαν επίσης, "Ω, και παρεμπιπτόντως, εδώ είναι το αναγνωριστικό TikTok του πελάτη. Εδώ είναι ο κατακερματισμός του κωδικού πρόσβασής τους. εδώ είναι η διεύθυνση του σπιτιού τους. εδώ είναι μια λίστα με ιδιωτικά βίντεο που δεν έχουν δημοσιεύσει ακόμα», και ούτω καθεξής.

---

ΖΥΜΗ.  Εντάξει, οπότε αν είμαι χρήστης του TikTok, υπάρχει κάποια προειδοποιητική ιστορία εδώ;

Πρέπει να κάνω κάτι;

Πώς με επηρεάζει αυτό ως χρήστη;

---

ΠΑΠΙΑ.  Αυτό είναι ακριβώς το θέμα. Doug – Υποθέτω ότι πολλά άρθρα που γράφτηκαν για αυτό ήταν απελπισμένα να βρουν κάποιο συμπέρασμα.

Τι μπορείτε να κάνετε;

Έτσι, η καυτή ερώτηση που κάνουν οι άνθρωποι είναι: «Λοιπόν, πρέπει να αλλάξω τον κωδικό πρόσβασής μου; Πρέπει να ενεργοποιήσω τον έλεγχο ταυτότητας δύο παραγόντων;»… όλα τα συνηθισμένα πράγματα που ακούτε.

Φαίνεται, σε αυτήν την περίπτωση, σαν να μην υπάρχει συγκεκριμένη ανάγκη να αλλάξετε τον κωδικό πρόσβασής σας.

Δεν υπάρχει καμία ένδειξη ότι τα hashes κωδικών πρόσβασης έχουν κλαπεί και ότι τώρα θα μπορούσαν να σπάσουν από ένα δισεκατομμύριο εξορύκτες bitcoin εκτός υπηρεσίας [ΓΕΛΙΑ] ή κάτι παρόμοιο.

Δεν υπάρχει καμία ένδειξη ότι οι λογαριασμοί χρηστών μπορεί να είναι πιο εύκολο να στοχεύσουν ως αποτέλεσμα αυτού.

Από την άλλη πλευρά, αν θέλετε να αλλάξετε τον κωδικό πρόσβασής σας… μπορείτε επίσης.

Η γενική σύσταση αυτές τις μέρες είναι η τακτική και τακτική και συχνή αλλαγή του κωδικού πρόσβασής σας *κατά χρονοδιάγραμμα* (όπως, «Μία φορά το μήνα αλλάξτε τον κωδικό πρόσβασής σας για κάθε ενδεχόμενο») είναι κακή ιδέα γιατί το [ROBOTIC VOICE] – απλά – παίρνει – εσείς – σε – μια – επαναλαμβανόμενη – συνήθεια που δεν βελτιώνει πραγματικά τα πράγματα.

Επειδή γνωρίζουμε τι κάνουν οι άνθρωποι, απλώς πηγαίνουν: -01, -02, 03 στο τέλος του κωδικού πρόσβασης.

Επομένως, δεν νομίζω ότι χρειάζεται να αλλάξετε τον κωδικό πρόσβασής σας, αν και αποφασίσετε ότι θα το κάνετε, μπράβο σας.

Η δική μου γνώμη είναι ότι σε αυτήν την περίπτωση, το αν είχατε ενεργοποιημένο ή όχι τον έλεγχο ταυτότητας δύο παραγόντων δεν θα είχε καμία διαφορά.

Από την άλλη, αν αυτό είναι ένα περιστατικό που τελικά σε πείθει ότι το 2FA έχει θέση στη ζωή σου κάπου…

…τότε ίσως, Ντάγκλας, αυτό είναι μια ασημένια επένδυση!

---

ΖΥΜΗ.  Εξαιρετική.

Θα το προσέχουμε λοιπόν.

Αλλά ακούγεται ότι δεν θα μπορούσαν να έχουν κάνει πολλά οι τακτικοί χρήστες για αυτό…

---

ΠΑΠΙΑ.  Μόνο που υπάρχει ίσως ένα πράγμα που μπορούμε να μάθουμε, ή τουλάχιστον να το υπενθυμίσουμε στον εαυτό μας.

---

ΖΥΜΗ.  Νομίζω ότι ξέρω τι έρχεται. [ΓΕΛΙΑ]

Έχει ομοιοκαταληξία;

---

ΠΑΠΙΑ.  Μπορεί, Ντάγκλας. [ΓΕΛΙΑ]

Γαμώτο, είμαι τόσο διάφανος. [ΓΕΛΙΟ]

Να είστε ενήμεροι/Πριν κοινοποιήσετε.

Μόλις κάτι είναι δημόσιο, είναι *πραγματικά δημόσιο*, και είναι τόσο απλό.

---

ΖΥΜΗ.  Εντάξει, πολύ καλά.

Να είστε ενήμεροι πριν μοιραστείτε.

Προχωρώντας αμέσως, η κοινότητα ασφαλείας έχασε έναν πρωτοπόρο στον Peter Eckersley, ο οποίος πέθανε στα 43 του.

Ήταν ο συνδημιουργός του Let's Encrypt.

Λοιπόν, πείτε μας λίγα λόγια για το Let's Encrypt και Η κληρονομιά του Eckersley, αν θα μπορούσες.

---

ΠΑΠΙΑ.  Λοιπόν, έκανε πολλά πράγματα στη δυστυχώς σύντομη ζωή του, Νταγκ.

Δεν γράφουμε συχνά μοιρολόγια στο Naked Security, αλλά αυτό είναι ένα από αυτά που πιστεύαμε ότι έπρεπε.

Επειδή, όπως λέτε, ο Peter Eckersley, μεταξύ όλων των άλλων που έκανε, ήταν ένας από τους συνιδρυτές του Let's Encrypt, του έργου που είχε ως στόχο να το κάνει φθηνό (δηλαδή δωρεάν!), αλλά, κυρίως, αξιόπιστο και εύκολο να αποκτήσετε πιστοποιητικά HTTPS για τον ιστότοπό σας.

Και επειδή χρησιμοποιούμε πιστοποιητικά Let's Encrypt στους ιστότοπους Naked Security και στο blog του Sophos News, ένιωσα ότι του οφείλουμε τουλάχιστον μια αναφορά για αυτή την καλή δουλειά.

Επειδή οποιοσδήποτε έχει ποτέ έναν ιστότοπο θα ξέρει ότι, αν γυρίσετε μερικά χρόνια πίσω, αποκτώντας ένα πιστοποιητικό HTTPS, ένα πιστοποιητικό TLS, που σας επιτρέπει να βάλετε το λουκέτο στα προγράμματα περιήγησης ιστού των επισκεπτών σας όχι μόνο κοστίζει χρήματα, αλλά και οι οικικοί χρήστες, χομπίστες , φιλανθρωπικές οργανώσεις, μικρές επιχειρήσεις, αθλητικοί σύλλογοι δεν μπορούσαν εύκολα να αντέξουν οικονομικά… ήταν μια *πραγματική ταλαιπωρία*.

Υπήρχε όλη αυτή η διαδικασία που έπρεπε να περάσετε. Ήταν πολύ γεμάτο ορολογία και τεχνικά πράγματα. και κάθε χρόνο έπρεπε να το ξανακάνεις, γιατί προφανώς λήγουν… είναι σαν έλεγχος ασφαλείας σε αυτοκίνητο.

Πρέπει να περάσετε από την άσκηση και να αποδείξετε ότι εξακολουθείτε να είστε το άτομο που μπορεί να τροποποιήσει τον τομέα που ισχυρίζεστε ότι έχετε τον έλεγχο και ούτω καθεξής.

Και το Let's Encrypt όχι μόνο μπόρεσε να το κάνει αυτό δωρεάν, αλλά μπόρεσε να το κάνει έτσι ώστε η διαδικασία να μπορεί να αυτοματοποιηθεί… και σε τριμηνιαία βάση, έτσι σημαίνει επίσης ότι τα πιστοποιητικά μπορούν να λήξουν πιο γρήγορα σε περίπτωση που κάτι πάει στραβά.

Κατάφεραν να δημιουργήσουν εμπιστοσύνη αρκετά γρήγορα που τα μεγάλα προγράμματα περιήγησης έλεγαν σύντομα, «Ξέρετε τι, θα εμπιστευτούμε το Let's Encrypt για να εγγυηθούμε τα πιστοποιητικά ιστού άλλων ανθρώπων – αυτό που ονομάζεται ρίζα CA, ή αρχή έκδοσης πιστοποιητικών.

Στη συνέχεια, το πρόγραμμα περιήγησής σας εμπιστεύεται το Let's Encrypt από προεπιλογή.

Και πραγματικά, είναι όλα εκείνα τα πράγματα που συνδυάζονται που για μένα ήταν το μεγαλείο του έργου.

Δεν ήταν μόνο ότι ήταν δωρεάν. δεν ήταν μόνο ότι ήταν εύκολο? Δεν ήταν μόνο ότι οι κατασκευαστές του προγράμματος περιήγησης (που είναι γνωστό ότι είναι δύσκολο να πειστούν να σας εμπιστευτούν εξαρχής) αποφάσισαν, "Ναι, τους εμπιστευόμαστε."

Ήταν όλα αυτά τα πράγματα μαζί που έκαναν τη μεγάλη διαφορά και βοήθησαν να αποκτηθεί το HTTPS σχεδόν παντού στο διαδίκτυο.

Είναι απλώς ένας τρόπος για να προσθέσουμε αυτή τη λίγη επιπλέον ασφάλεια στην περιήγηση που κάνουμε…

…όχι τόσο για την κρυπτογράφηση, όπως συνεχίζουμε να υπενθυμίζουμε στους ανθρώπους, αλλά για το γεγονός ότι [A] έχετε μια ευκαιρία να μάχεστε ότι έχετε συνδεθεί πραγματικά σε έναν ιστότοπο που χειραγωγείται από το άτομο που υποτίθεται ότι το χειρίζεται, και ότι το [B] όταν το περιεχόμενο επιστρέφει ή όταν του στέλνετε ένα αίτημα, δεν μπορεί να παραβιαστεί εύκολα στην πορεία.

Μέχρι το Let's Encrypt, με οποιονδήποτε ιστότοπο μόνο για HTTP, σχεδόν οποιοσδήποτε στη διαδρομή του δικτύου θα μπορούσε να κατασκοπεύσει αυτό που κοιτάζατε.

Ακόμα χειρότερα, θα μπορούσαν να το τροποποιήσουν – είτε αυτό που στέλνατε, είτε αυτό που λαμβάνετε πίσω – και *απλά δεν μπορούσατε να πείτε* ότι κατεβάζατε κακόβουλο λογισμικό αντί για το πραγματικό, ή ότι διαβάζατε ψευδείς ειδήσεις αντί για πραγματική ιστορία.

---

ΖΥΜΗ.  Εντάξει, νομίζω ότι είναι κατάλληλο να τελειώσω με ένα υπέροχο σχόλιο από έναν από τους αναγνώστες μας, Σαμάνθα, που φαίνεται να γνώριζε τον κ. Eckersley.

Αυτή λέει:

«Αν κάτι θυμάμαι πάντα σχετικά με τις αλληλεπιδράσεις μου με τον Πιτ, ήταν η αφοσίωσή του στην επιστήμη και την επιστημονική μέθοδο. Το να κάνεις ερωτήσεις είναι η ίδια η ουσία του να είσαι επιστήμονας. Πάντα θα λατρεύω τον Πιτ και τις ερωτήσεις του. Για μένα, ο Πιτ ήταν ένας άνθρωπος που εκτιμούσε την επικοινωνία και την ελεύθερη και ανοιχτή ανταλλαγή ιδεών μεταξύ αδιάκριτων ατόμων».

Καλά τα είπες, Σαμάνθα - ευχαριστώ.

---

ΠΑΠΙΑ.  Ναι!

Και αντί να πω RIP [συντομογραφία του Rest In Peace], νομίζω ότι θα πω CIP: Code in Peace.

---

ΖΥΜΗ.  Πολύ καλό!

Εντάξει, καλά, μιλήσαμε την περασμένη εβδομάδα για μια σειρά από ενημερώσεις κώδικα Chrome και, στη συνέχεια, εμφανίστηκε ένα ακόμη.

Και αυτό ήταν ένα σημαντικό ένας…

---

ΠΑΠΙΑ.  Ήταν πράγματι, Νταγκ.

Και επειδή εφαρμόστηκε στον πυρήνα του Chromium, εφαρμόστηκε και στον Microsoft Edge.

Έτσι, μόλις την περασμένη εβδομάδα, μιλούσαμε για αυτές… τι ήταν, 24 τρύπες ασφαλείας.

Ο ένας ήταν κρίσιμος, οκτώ ή εννέα ήταν ψηλά.

Υπάρχουν όλα τα είδη σφαλμάτων κακής διαχείρισης μνήμης εκεί, αλλά κανένα από αυτά δεν ήταν μηδενικό.

Και έτσι μιλούσαμε για αυτό, λέγοντας, «Κοίτα, αυτή είναι μια μικρή συμφωνία από την άποψη της μηδενικής ημέρας, αλλά είναι μεγάλη υπόθεση από την άποψη της ενημέρωσης κώδικα ασφαλείας. Προχωρήστε: μην καθυστερείτε, κάντε το σήμερα».

(Συγγνώμη - έβαλα ξανά ομοιοκαταληξία, Νταγκ.)

Αυτή τη φορά, είναι μια άλλη ενημέρωση που κυκλοφόρησε μόλις λίγες μέρες αργότερα, τόσο για τον Chrome όσο και για τον Edge.

Αυτή τη φορά, έχει διορθωθεί μόνο μια τρύπα ασφαλείας.

Δεν γνωρίζουμε ακριβώς αν πρόκειται για ανύψωση προνομίων ή για απομακρυσμένη εκτέλεση κώδικα, αλλά ακούγεται σοβαρό και είναι μια ημέρα μηδέν με ένα γνωστό exploit ήδη στη φύση.

Υποθέτω ότι τα καλά νέα είναι ότι τόσο η Google όσο και η Microsoft, καθώς και άλλοι κατασκευαστές προγραμμάτων περιήγησης, μπόρεσαν να εφαρμόσουν αυτήν την ενημέρωση κώδικα και να την βγάλουν πολύ, πολύ γρήγορα.

Δεν μιλάμε για μήνες ή εβδομάδες… μόνο μερικές ημέρες για μια γνωστή μηδενική ημέρα που προφανώς βρέθηκε μετά την κυκλοφορία της τελευταίας ενημέρωσης, η οποία ήταν μόλις την περασμένη εβδομάδα.

Αυτά είναι λοιπόν τα καλά νέα.

Τα κακά νέα είναι, φυσικά, ότι πρόκειται για 0-ημέρα – οι απατεώνες το κάνουν. το χρησιμοποιούν ήδη.

Η Google ήταν λίγο ντροπαλή σχετικά με το «πώς και γιατί»… αυτό υποδηλώνει ότι υπάρχει κάποια έρευνα σε εξέλιξη στο παρασκήνιο που μπορεί να μην θέλουν να θέσουν σε κίνδυνο.

Οπότε, για άλλη μια φορά, αυτή είναι μια κατάσταση "Επιδιορθώστε νωρίς, διορθώστε συχνά" - δεν μπορείτε απλώς να την αφήσετε.

Εάν κάνατε έμπλαστρο την προηγούμενη εβδομάδα, τότε πρέπει να το κάνετε ξανά.

Τα καλά νέα είναι ότι το Chrome, το Edge και τα περισσότερα προγράμματα περιήγησης αυτές τις μέρες θα πρέπει να ενημερώνονται μόνοι τους.

Αλλά, όπως πάντα, αξίζει να το ελέγξετε, γιατί τι γίνεται αν βασίζεστε στην αυτόματη ενημέρωση και, μόνο αυτή τη φορά, δεν λειτούργησε;

Δεν θα ήταν 30 δευτερόλεπτα από το χρόνο σας που ξοδέψατε καλά για να επαληθεύσετε ότι έχετε όντως την πιο πρόσφατη έκδοση;

Έχουμε όλους τους σχετικούς αριθμούς έκδοσης και τις συμβουλές [σχετικά με το Naked Security] σχετικά με το πού να κάνετε κλικ για το Chrome και το Edge για να βεβαιωθούμε ότι διαθέτετε οπωσδήποτε την πιο πρόσφατη έκδοση αυτών των προγραμμάτων περιήγησης.

---

ΖΥΜΗ.  Και έκτακτα νέα για όσους κρατούν σκορ…

Μόλις έλεγξα την έκδοση του Microsoft Edge και είναι η σωστή, ενημερωμένη έκδοση, επομένως ενημερώθηκε από μόνο του.

Εντάξει, τελευταίο, αλλά σίγουρα όχι λιγότερο σημαντικό, έχουμε ένα σπάνιο αλλά επείγουσα ενημέρωση της Apple για το iOS 12, το οποίο όλοι πιστεύαμε ότι έγινε και ξεσκονίστηκε.

---

ΠΑΠΙΑ.  Ναι, όπως έγραψα στις πρώτες πέντε λέξεις του άρθρου για τη Γυμνή Ασφάλεια, "Λοιπόν, δεν το περιμέναμε αυτό!"

Επέτρεψα στον εαυτό μου ένα θαυμαστικό, Νταγκ, [ΓΕΛΙΟ] γιατί εξεπλάγην…

Οι τακτικοί ακροατές του podcast θα ξέρουν ότι το αγαπημένο μου, αν παλιό αλλά πρώην παρθένο iPhone 6 Plus υπέστη ατύχημα με ποδήλατο.

Το ποδήλατο επέζησε. Μεγάλωσα όλο το δέρμα που χρειαζόμουν [ΓΕΛΙΟ]… αλλά η οθόνη του iPhone μου είναι ακόμα σε εκατό χιλιάδες εκατομμύρια δισεκατομμύρια τρισεκατομμύρια κομμάτια. (Όλα τα κομμάτια που θα βγουν στο δάχτυλό μου, νομίζω ότι το έχουν ήδη κάνει.)

Έτσι κατάλαβα… iOS 12, έχει περάσει ένας χρόνος από την τελευταία ενημέρωση, οπότε προφανώς είναι εντελώς εκτός ραντάρ της Apple.

Δεν πρόκειται να λάβει άλλες επιδιορθώσεις ασφαλείας.

Σκέφτηκα, "Λοιπόν, η οθόνη δεν μπορεί να σπάσει ξανά, επομένως είναι ένα υπέροχο τηλέφωνο έκτακτης ανάγκης για να το παίρνω όταν είμαι στο δρόμο"... αν πάω κάπου, αν χρειαστεί να κάνω μια κλήση ή να κοιτάξω το χάρτης. (Δεν πρόκειται να στείλω email ή οτιδήποτε σχετικό με την εργασία.)

Και, ιδού, έγινε ενημέρωση, Νταγκ!

Ξαφνικά, σχεδόν ένα χρόνο μετά την προηγούμενη… Νομίζω ότι η 23η Σεπτεμβρίου 2021 ήταν η τελευταία ενημέρωση Είχα.

Ξαφνικά, η Apple δημοσίευσε αυτήν την ενημέρωση.

Σχετίζεται με το προηγούμενα μπαλώματα για το οποίο μιλήσαμε, όπου έκαναν την ενημέρωση έκτακτης ανάγκης για τα σύγχρονα iPhone και iPad και όλες τις εκδόσεις του macOS.

Εκεί, επιδιορθώνονταν ένα σφάλμα WebKit και ένα σφάλμα πυρήνα: και οι δύο ημέρες μηδέν. και τα δύο χρησιμοποιούνται στην άγρια ​​φύση.

(Σας μυρίζει spyware; Σε εμένα μυρίζει!)

Το σφάλμα WebKit σημαίνει ότι μπορείτε να επισκεφτείτε έναν ιστότοπο ή να ανοίξετε ένα έγγραφο και αυτό θα καταλάβει την εφαρμογή.

Στη συνέχεια, το σφάλμα πυρήνα σημαίνει ότι βάζετε τη βελόνα πλεξίματος απευθείας στο λειτουργικό σύστημα και βασικά ανοίγετε μια τρύπα στο περίφημο σύστημα ασφαλείας της Apple.

Αλλά δεν υπήρχε ενημέρωση για το iOS 12 και, όπως είπαμε την προηγούμενη φορά, ποιος ήξερε αν αυτό ήταν επειδή το iOS 12 ήταν απλώς άτρωτο ή ότι η Apple πραγματικά δεν επρόκειτο να κάνει τίποτα γι 'αυτό επειδή έπεσε στην άκρη του πλανήτη πριν από ένα χρόνο;

Λοιπόν, φαίνεται ότι δεν έπεσε εντελώς από την άκρη του πλανήτη, ή έπεσε στο χείλος του γκρεμού… και *ήταν* ευάλωτο.

Καλά νέα… το σφάλμα πυρήνα για το οποίο μιλήσαμε την προηγούμενη φορά, αυτό που θα επέτρεπε σε κάποιον ουσιαστικά να αναλάβει ολόκληρο το iPhone ή το iPad, δεν ισχύει για το iOS 12.

Αλλά αυτό το σφάλμα WebKit – το οποίο θυμάται, επηρεάζει *οποιοδήποτε* πρόγραμμα περιήγησης, όχι μόνο το Safari, και κάθε εφαρμογή που κάνει οποιοδήποτε είδος απόδοσης που σχετίζεται με τον ιστό, ακόμα κι αν είναι μόνο στο δικό του Σχετικά οθόνη…

…αυτό το σφάλμα *υπήρχε* στο iOS 12, και προφανώς η Apple το ένιωσε έντονα.

Λοιπόν, ορίστε: εάν έχετε ένα παλαιότερο iPhone και εξακολουθεί να είναι σε iOS 12 επειδή δεν μπορείτε να το ενημερώσετε στο iOS 15, τότε πρέπει να πάτε και να το αποκτήσετε.

Επειδή αυτό είναι το Σφάλμα WebKit μιλήσαμε για την τελευταία φορά – έχει χρησιμοποιηθεί στη φύση.

Η Apple διορθώνει το double zero-day στο πρόγραμμα περιήγησης και τον πυρήνα - ενημερώστε τώρα!

Και το γεγονός ότι η Apple έχει καταβάλει κάθε προσπάθεια για να υποστηρίξει αυτό που φαινόταν να είναι μια έκδοση λειτουργικού συστήματος πέρα ​​από το τέλος της ζωής υποδηλώνει, ή τουλάχιστον σας προσκαλεί να συμπεράνετε, ότι έχει ανακαλυφθεί ότι έχει χρησιμοποιηθεί με κακόβουλους τρόπους για κάθε λογής άτακτα πράγματα.

Έτσι, ίσως μόνο μερικοί άνθρωποι στοχοποιήθηκαν… αλλά ακόμα κι αν είναι έτσι, μην αφήσετε τον εαυτό σας να γίνει το τρίτο πρόσωπο!

---

ΖΥΜΗ.  Και για να δανειστώ μια από τις φράσεις σας με ομοιοκαταληξία:

Μην καθυστερείτε/Κάντε το σήμερα.

[ΓΕΛΙΑ] Τι λέτε για αυτό;

---

ΠΑΠΙΑ.  Νταγκ, ήξερα ότι θα το έλεγες αυτό.

---

ΖΥΜΗ.  προλαβαίνω!

Και καθώς ο ήλιος αρχίζει να δύει σιγά σιγά στην εκπομπή μας για σήμερα, θα θέλαμε να ακούσουμε από έναν από τους αναγνώστες μας για την ιστορία της Apple zero-day.

Ο αναγνώστης Bryan σχολιάζει:

«Το εικονίδιο ρυθμίσεων της Apple έμοιαζε πάντα με γρανάζι ποδηλάτου στο μυαλό μου. Ως άπληστος ποδηλάτης, χρήστης συσκευών της Apple, περιμένω έτσι;»

Αυτό απευθύνεται σε σένα, Πολ.

Σου αρέσει αυτό?

Πιστεύετε ότι μοιάζει με γρανάζι ποδηλάτου;

---

ΠΑΠΙΑ.  Δεν με πειράζει, γιατί είναι πολύ αναγνωρίσιμο, πες αν θέλω να πάω ρυθμίσεις > General > Η ενημέρωση λογισμικού.

(Υπόδειξη, υπόδειξη: έτσι ελέγχετε για ενημερώσεις στο iOS.)

Το εικονίδιο είναι πολύ χαρακτηριστικό και είναι εύκολο να χτυπηθεί, ώστε να ξέρω πού πηγαίνω.

Αλλά, όχι, δεν το έχω συνδέσει ποτέ με το ποδήλατο γιατί αν ήταν μπροστινοί δακτύλιοι αλυσίδων σε ένα ποδήλατο με γραναζωτό ποδήλατο, απλά κάνουν όλα λάθος.

Δεν έχουν συνδεθεί σωστά.

Δεν υπάρχει τρόπος να τους βάλεις δύναμη.

Υπάρχουν δύο γρανάζια, αλλά έχουν δόντια διαφορετικών μεγεθών.

Αν σκεφτείτε πώς λειτουργούν τα γρανάζια στα γρανάζια ποδηλάτου τύπου jumpy-gear (εκτροχιαστήρες, όπως είναι γνωστοί), έχετε μόνο μία αλυσίδα και η αλυσίδα έχει συγκεκριμένη απόσταση, ή βήμα όπως λέγεται.

Έτσι, όλα τα γρανάζια ή οι οδοντωτοί τροχοί (τεχνικά, δεν είναι γρανάζια, γιατί τα γρανάζια οδηγούν γρανάζια και οι αλυσίδες οδηγούν γρανάζια)… όλα τα γρανάζια πρέπει να έχουν δόντια του ίδιου μεγέθους ή βήματος, διαφορετικά η αλυσίδα δεν θα ταιριάζει!

Και αυτά τα δόντια είναι πολύ αιχμηρά. Νταγκ.

Κάποιος στα σχόλια είπε ότι πίστευε ότι τους θύμιζε κάτι που είχε να κάνει με ρολόι, όπως μια απόδραση ή κάποιο είδος εργαλείων μέσα σε ένα ρολόι.

Αλλά είμαι σχεδόν σίγουρος ότι οι ωρολογοποιοί θα έλεγαν, «Όχι, δεν θα διαμορφώναμε έτσι τα δόντια», επειδή χρησιμοποιούν πολύ διακριτικά σχήματα για να αυξήσουν την αξιοπιστία και την ακρίβεια.

Έτσι, είμαι πολύ ευχαριστημένος με αυτό το εικονίδιο της Apple, αλλά, όχι, δεν μου θυμίζει ποδήλατο.

Το εικονίδιο Android, ειρωνικά…

…και σκέφτηκα εσένα όταν το σκέφτηκα αυτό, Νταγκ [ΓΕΛΙΟ], και σκέφτηκα, «Ω, Γκόλλυ, δεν θα ακούσω ποτέ το τέλος αυτού. Αν το αναφέρω»…

.. που μοιάζει με ένα πίσω γρανάζι σε ένα ποδήλατο (και ξέρω ότι δεν είναι γρανάζι, είναι γρανάζι, γιατί τα γρανάζια οδηγούν γρανάζια και οι αλυσίδες οδηγούν γρανάζια, αλλά για κάποιο λόγο τα ονομάζετε γρανάζια όταν είναι μικρά στο πίσω από ένα ποδήλατο).

Αλλά έχει μόνο έξι δόντια.

Το μικρότερο πίσω γρανάζι ποδηλάτου που μπορώ να αναφέρω είναι εννέα δόντια – είναι πολύ μικροσκοπικά, πολύ σφιχτή καμπύλη και μόνο σε ειδικές χρήσεις.

Στους τύπους BMX αρέσουν γιατί όσο πιο μικρό είναι το γρανάζι, τόσο λιγότερο πιθανό είναι να χτυπήσει στο έδαφος όταν κάνετε κόλπα.

Έτσι… αυτό έχει πολύ μικρή σχέση με την ασφάλεια στον κυβερνοχώρο, αλλά είναι συναρπαστική η εικόνα αυτού που πιστεύω ότι είναι γνωστό στις μέρες μας όχι ως «η διεπαφή χρήστη», αλλά «η εμπειρία χρήστη».

---

ΖΥΜΗ.  Εντάξει, σε ευχαριστώ πολύ, Bryan, για το σχόλιο.

Εάν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να τη διαβάσουμε στο podcast.

Μπορείτε να στείλετε email στο tips@sophos.com, να σχολιάσετε οποιοδήποτε από τα άρθρα μας ή να μας ενημερώσετε στα social: @Naked Security.

Αυτή είναι η εκπομπή μας για σήμερα – ευχαριστώ πολύ που με ακούσατε.

Για τον Paul Ducklin, είμαι ο Doug Aamoth, σας υπενθυμίζω μέχρι την επόμενη φορά να…

---

ΚΑΙ ΤΑ ΔΥΟ.  Μείνετε ασφαλείς!

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]