S3 Ep106: Gesichtserkennung ohne Einwilligung – soll sie verboten werden?

Klicken und ziehen Sie auf die unten stehenden Schallwellen, um zu einem beliebigen Punkt zu springen. Du kannst auch direkt zuhören auf Soundcloud.

---

DOUG.  Kryptologie, Cops hacken zurück, Apple-Updates und … Kartenzählen!

All das und mehr im Naked Security-Podcast.

[MUSIKMODEM]

Willkommen zum Podcast, alle zusammen.

Ich bin Doug Aamoth; er ist Paul Ducklin.

Paul, wie geht es dir heute?

---

ENTE.  Mir geht es sehr gut, danke, Douglas.

Und ich freue mich sehr auf das Kartenzählen, nicht zuletzt, weil es nicht nur ums Zählen, sondern auch ums Kartenmischen geht.

---

DOUG.  Alles klar, sehr gut, freue mich darauf!

Und in unserem Tech History-Segment werden wir über etwas sprechen, das nicht zufällig war – es war sehr kalkuliert.

Diese Woche, am 25. Oktober 2001, wurde Windows XP für den Einzelhandel freigegeben.

Es wurde auf dem Betriebssystem Windows NT aufgebaut, und XP ersetzte sowohl Windows 2000 als auch Windows Millennium Edition als „XP Professional Edition“ bzw. „XP Home Edition“.

XP Home war die erste Verbraucherversion von Windows, die nicht auf MS-DOS oder dem Windows 95-Kernel basierte.

Und ich persönlich habe es geliebt.

Ich erinnere mich vielleicht nur an einfachere Zeiten … Ich weiß nicht, ob es wirklich so gut war, wie ich es in Erinnerung habe, aber ich erinnere mich, dass es besser war als das, was wir vorher hatten.

---

ENTE.  Ich stimme dem zu.

Ich glaube, da sind einige rosarote Brillen, die du da trägst, Doug …

---

DOUG.  Ähm-hmmm.

---

ENTE.  …aber ich muss zustimmen, dass es eine Verbesserung war.

---

DOUG.  Lassen Sie uns ein wenig über Comeuppance sprechen, insbesondere über Comeuppance for unerwünschte Gesichtserkennung in Frankreich:

Der Image-Scraping-Gesichtserkennungsdienst Clearview AI wurde in Frankreich mit einer Geldstrafe von 20 Millionen Euro belegt

---

ENTE.  In der Tat!

Regelmäßige Zuhörer werden wissen, dass wir es haben darüber gesprochen ein Unternehmen namens Clearview AI vielfach, weil ich denke, es ist fair zu sagen, dass diese Firma umstritten ist.

Die französische Regulierungsbehörde veröffentlicht sehr hilfreich ihre Urteile oder hat zumindest ihre Clearview-Urteile sowohl auf Französisch als auch auf Englisch veröffentlicht.

Also, im Grunde ist hier, wie sie es beschreiben:

Clearview AI sammelt Fotos von vielen Websites, einschließlich sozialer Medien. Es sammelt alle Fotos, die in diesen Netzwerken direkt zugänglich sind. Damit hat das Unternehmen weltweit über 20 Milliarden Bilder gesammelt.

Dank dieser Sammlung vermarktet das Unternehmen den Zugang zu seiner Bilddatenbank in Form einer Suchmaschine, in der eine Person anhand eines Fotos gefunden werden kann. Das Unternehmen bietet diesen Service Strafverfolgungsbehörden an.

Und der Einwand der französischen Regulierungsbehörde, der letztes Jahr zumindest von der britischen und der australischen Regulierungsbehörde wiederholt wurde, lautet: „Wir halten dies für ungesetzlich in unserem Land. Sie können die Bilder von Personen für diesen kommerziellen Zweck nicht ohne deren Zustimmung kratzen. Und Sie halten sich auch nicht an die DSGVO-Regeln und Datenvernichtungsregeln, was es ihnen leicht macht, Sie zu kontaktieren und zu sagen: ‚Ich möchte mich abmelden‘.“

Also, erstens sollte es sich anmelden, wenn Sie dies ausführen möchten.

Und nachdem Sie das Zeug gesammelt haben, sollten Sie nicht daran festhalten, selbst wenn sie sicherstellen möchten, dass ihre Daten entfernt werden.

Und das Problem in Frankreich, Doug, ist, dass die Regulierungsbehörde im vergangenen Dezember sagte: „Tut mir leid, Sie können das nicht tun. Hör auf, Daten zu kratzen, und werde das los, was du über alle in Frankreich hast. Vielen Dank."

Laut der Regulierungsbehörde schien Clearview AI anscheinend einfach nicht nachkommen zu wollen.

---

DOUG.  Oh, oh!

---

ENTE.  Jetzt sind also die Franzosen zurückgekommen und haben gesagt: „Sie scheinen nicht zuhören zu wollen. Sie scheinen nicht zu verstehen, dass dies das Gesetz ist. Jetzt gilt dasselbe, aber Sie müssen auch 20 Millionen Euro bezahlen. Danke fürs Kommen."

---

DOUG.  Zu dem Artikel brauen sich einige Kommentare zusammen… wir würden gerne Ihre Meinung hören; Sie können anonym kommentieren.

Die von uns gestellten Fragen lauten insbesondere: „Erbringt Clearview AI wirklich einen nützlichen und sozial akzeptablen Dienst für die Strafverfolgung? Oder trampelt es lässig auf unserer Privatsphäre herum, indem es biometrische Daten unrechtmäßig sammelt und sie ohne Zustimmung für investigative Verfolgungszwecke kommerzialisiert?“

In Ordnung, lassen Sie uns bei diesem Thema von Comeuppance bleiben und über ein bisschen davon reden Comeuppance für den DEADBOLT Kriminelle.

Dies ist eine interessante Geschichte, in der es um Strafverfolgung und Hacking geht!

Wenn die Polizei zurückschlägt: Die niederländische Polizei faßt DEADBOLT-Kriminelle aus (legal!)

---

ENTE.  Hut ab vor der Polizei dafür, obwohl es, wie wir noch erklären werden, eine einmalige Sache war.

Regelmäßige Hörer werden sich an DEADBOLT erinnern – es ist schon ein paar Mal vorgekommen.

DEADBOLT ist die Ransomware-Gang, die Ihren Network Attached Storage [NAS]-Server im Grunde findet, wenn Sie ein Heimanwender oder ein kleines Unternehmen sind …

…und wenn es nicht gegen eine Schwachstelle gepatcht ist, die sie auszunutzen wissen, kommen sie herein und verschlüsseln einfach Ihre NAS-Box.

Sie dachten, dort sind all Ihre Backups, dort sind all Ihre großen Dateien, dort sind all Ihre wichtigen Sachen.

„Machen wir uns keine Sorgen darüber, Malware für Windows und Malware für Mac schreiben zu müssen und uns Gedanken darüber zu machen, welche Version Sie haben. Wir gehen einfach direkt hinein, verschlüsseln Ihre Dateien und sagen dann: ‚Zahlen Sie uns 600 Dollar‘.“

Das ist der aktuelle Kurs: 0.03 Bitcoins, wenn es Ihnen nichts ausmacht.

Sie verfolgen also diesen verbraucherorientierten Ansatz, indem sie versuchen, viele Menschen zu treffen und jedes Mal einen einigermaßen erschwinglichen Betrag zu verlangen.

Und ich schätze, wenn alles, was Sie haben, dort gesichert ist, dann denken Sie vielleicht: „Weißt du was? 600 Dollar sind viel Geld, aber ich kann es mir gerade noch leisten. Ich bezahle.“

Um die Sache zu vereinfachen (und wir haben widerwillig gesagt, dies ist, wenn Sie so wollen, ein cleverer Teil dieser speziellen Ransomware) … im Grunde sagen Sie den Gaunern, dass Sie interessiert sind, indem Sie ihnen eine Nachricht über die Bitcoin-Blockchain senden .

Grundsätzlich zahlen Sie ihnen das Geld an eine bestimmte, für Sie eindeutige Bitcoin-Adresse.

Wenn sie die Zahlungsnachricht erhalten, senden sie eine Zahlung von 0 $ zurück, die einen Kommentar enthält, der der Entschlüsselungsschlüssel ist.

Das ist also die *einzige* Interaktion, die sie mit Ihnen brauchen.

Sie müssen keine E-Mail verwenden und keine Dark-Web-Server betreiben.

Die niederländischen Polizisten dachten jedoch, die Gauner hätten einen protokollbezogenen Fehler begangen!

Sobald Ihre Transaktion das Bitcoin-Ökosystem erreicht und nach jemandem sucht, der sie abbaut, sendet ihr Skript den Entschlüsselungsschlüssel.

Und es stellt sich heraus, dass Sie, obwohl Sie Bitcoins nicht doppelt ausgeben können (sonst würde das System auseinanderfallen), zwei Transaktionen gleichzeitig tätigen können, eine mit einer hohen Transaktionsgebühr und eine mit einer sehr niedrigen oder null Transaktionsgebühr.

Und raten Sie mal, welche die Bitcoin-Miner und letztendlich die Bitcoin-Blockchain akzeptieren werden?

Und das taten die Polizisten …

---

DOUG.  [LACHT] Sehr schlau, gefällt mir!

---

ENTE.  Sie würden eine Zahlung ohne Transaktionsgebühr vornehmen, deren Bearbeitung Tage dauern könnte.

Und dann, sobald sie den Entschlüsselungsschlüssel von den Gaunern zurückbekamen (sie hatten, glaube ich, 155 Benutzer, die sie irgendwie zusammengeknüppelt hatten) … sobald sie den Entschlüsselungsschlüssel zurückbekamen, machten sie eine doppelte Transaktion.

„Ich möchte das gleiche Bitcoin noch einmal ausgeben, aber dieses Mal werden wir es uns selbst zurückzahlen. Und jetzt bieten wir eine vernünftige Transaktionsgebühr an.“

Diese Transaktion war also diejenige, die letztendlich tatsächlich bestätigt und in die Blockchain eingeschlossen wurde…

…und der andere wurde einfach ignoriert und weggeworfen… [LACHT] wie immer, sollte nicht lachen!

---

DOUG.  [Lacht]

---

ENTE.  Im Grunde haben die Gauner also zu früh ausgezahlt.

Und ich schätze, es ist kein *Verrat*, wenn Sie eine Strafverfolgungsbehörde sind, und Sie tun es auf eine gesetzlich gerechtfertigte Weise … es ist im Grunde eine *Falle*.

Und die Gauner gingen hinein.

Wie ich eingangs erwähnt habe, kann das nur einmal funktionieren, weil sich die Gauner natürlich dachten: „Oh je, das sollten wir nicht so machen. Ändern wir das Protokoll. Lassen Sie uns zuerst warten, bis die Transaktion auf der Blockchain bestätigt wird, und sobald wir wissen, dass niemand mit einer Transaktion daherkommen kann, die sie später übertrumpft, werden wir erst dann den Entschlüsselungsschlüssel versenden.“

---

ENTE.  Aber die Gauner wurden bei der Melodie von 155 Entschlüsselungsschlüsseln von Opfern aus 13 verschiedenen Ländern, die die niederländische Polizei um Hilfe baten, auf dem falschen Fuß erwischt.

Damit Hut [Französischer Radsport-Slang für „Hut abnehmen“], wie man so schön sagt!

---

DOUG.  Das ist großartig … das sind zwei positive Geschichten hintereinander.

Und lassen Sie uns mit dieser nächsten Geschichte die positive Stimmung am Laufen halten.

Es geht um Frauen in der Kryptologie.

Sie wurden vom US Postal Service geehrt, der die Codeknacker des Zweiten Weltkriegs feiert.

Erzählen Sie uns alles darüber – das ist ein sehr interessante geschichte,Paul:

Frauen in der Kryptologie – USPS feiert die Codeknacker des 2. Weltkriegs

---

ENTE.  Ja, es war eines dieser netten Dinge, über die man auf Naked Security schreiben konnte: Frauen in der Kryptologie – United States Postal Service feiert Codeknacker aus dem 2. Weltkrieg.

Jetzt haben wir uns mit dem Knacken von Codes in Bletchley Park befasst, bei denen es sich um die kryptografischen Bemühungen Großbritanniens während des Zweiten Weltkriegs handelt, hauptsächlich um zu versuchen, Nazi-Chiffren wie die bekannte Enigma-Maschine zu knacken.

Wie Sie sich jedoch vorstellen können, standen die USA vor einem großen Problem auf dem pazifischen Kriegsschauplatz, als sie versuchten, mit japanischen Chiffren umzugehen, insbesondere mit einer Chiffre, die als PURPLE bekannt ist.

Im Gegensatz zur Enigma der Nazis war dies kein kommerzielles Gerät, das gekauft werden konnte.

Es war eigentlich eine selbstgebaute Maschine, die aus dem Militär kam, basierend auf Telefonschaltrelais, die, wenn man darüber nachdenkt, so etwas wie „Basis-Zehn“-Schalter sind.

Also auf die gleiche Art und Weise Bletchley Park in Großbritannien beschäftigten heimlich mehr als 10,000 Menschen … Ich wusste das nicht, aber es stellte sich heraus, dass weit über 10,000 Frauen in den USA für die Kryptologie rekrutiert wurden, für das kryptografische Knacken, um zu versuchen, mit japanischen Chiffren während des Krieges fertig zu werden.

Auf jeden Fall waren sie äußerst erfolgreich.

In den frühen 1940er Jahren gelang einem der US-Kryptologen namens Genevieve Grotjan ein kryptografischer Durchbruch, der offenbar zu spektakulären Erfolgen beim Lesen japanischer Geheimnisse führte.

Und ich zitiere nur aus der Briefmarkenserie des US Postal Service:

Sie entschlüsselten die japanische Flottenkommunikation, halfen dabei, deutsche U-Boote daran zu hindern, wichtige Frachtschiffe zu versenken, und arbeiteten daran, die Verschlüsselungssysteme zu knacken, die japanische Schifffahrtsrouten und diplomatische Nachrichten enthüllten.

Sie können sich vorstellen, dass Ihnen das sehr, sehr brauchbare Informationen gibt … von denen Sie annehmen müssen, dass sie dazu beigetragen haben, den Krieg zu verkürzen.

Obwohl die Japaner (anscheinend von den Nazis) gewarnt worden waren, dass ihre Chiffre entweder knackbar oder bereits gebrochen war, weigerten sie sich glücklicherweise, es zu glauben, und benutzten während des gesamten Krieges weiterhin PURPLE.

Und die Kryptologinnen der damaligen Zeit machten bestimmt heimlich Heu, während die Sonne schien.

Unglücklicherweise, genau wie in Großbritannien mit all den Kriegshelden (wiederum die meisten von ihnen Frauen) in Bletchley Park…

…nach dem Krieg wurden sie zur Geheimhaltung verpflichtet.

So dauerte es viele Jahrzehnte, bis sie überhaupt Anerkennung fanden, ganz zu schweigen von dem, was man den Heldenempfang nennen könnte, den sie im Grunde verdient hatten, als 1945 der Frieden ausbrach.

---

DOUG.  Wow, das ist eine coole Geschichte.

Und bedauerlich, dass es so lange gedauert hat, die Anerkennung zu bekommen, aber großartig, dass sie sie endlich bekommen haben.

Und ich fordere jeden auf, der sich das anhört, auf die Website zu gehen, um das zu lesen.

Es heißt: Frauen in der Kryptologie – USPS feiert die Codeknacker des 2. Weltkriegs.

Sehr gutes Stück!

---

ENTE.  Übrigens, Doug, bei der Briefmarkenserie, die Sie kaufen können (die Gedenkserie, bei der Sie die Briefmarken auf einem ganzen Bogen erhalten) … rund um die Briefmarken hat der USPS tatsächlich ein kleines kryptografisches Rätsel angebracht, das wir wiederholt haben der Artikel.

Es ist nicht so schwierig wie Enigma oder PURPLE, also kann man es eigentlich ziemlich einfach mit Stift und Papier machen, aber es ist ein gutes Stück Erinnerungsspaß.

Also komm vorbei und probiere es aus, wenn du magst.

Wir haben auch einen Link zu einem Artikel gesetzt, den wir vor ein paar Jahren geschrieben haben (Was uns 2000 Jahre Kryptographie lehren können), in der Sie Hinweise finden, die Ihnen beim Lösen des kryptografischen USPS-Rätsels helfen.

Gutes Stück Spaß, um mit Ihrem Gedenken zu gehen!

---

DOUG.  Okay, also bleiben wir ein wenig bei Zufälligkeit und Kryptografie und stellen eine Frage, die sich vielleicht schon einige gestellt haben.

Ultraschall zufällig sind das automatische Kartenmischer, die Sie vielleicht in einem Casino sehen?

Ernste Sicherheit: Wie zufällig (oder nicht) können Sie Karten mischen?

---

ENTE.  Ja, eine weitere faszinierende Geschichte, die ich dank Kryptografie-Guru Bruce Schneier aufgegriffen habe, der darüber geschrieben hat auf seinem eigenen Blog, und er betitelte seinen Artikel Über die Zufälligkeit automatischer Kartenmischer.

Das Papier, über das wir sprechen, geht, glaube ich, auf das Jahr 2013 zurück, und die geleistete Arbeit geht, glaube ich, auf die frühen 2000er Jahre zurück.

Aber was mich an der Geschichte fasziniert und mich dazu gebracht hat, sie zu teilen, ist, dass sie unglaubliche lehrreiche Momente für Leute bietet, die sich derzeit mit Programmierung beschäftigen, ob im Bereich der Kryptographie oder nicht.

Und vor allem in der Prüfung und Qualitätssicherung.

Denn im Gegensatz zu den Japanern, die sich weigerten zu glauben, dass ihre LILA Chiffre möglicherweise nicht richtig funktioniert, handelt es sich hier um eine Geschichte über ein Unternehmen, das automatische Kartenmischmaschinen herstellte, sich aber dachte: „Sind sie wirklich gut genug?“

Oder könnte jemand tatsächlich herausfinden, wie sie funktionieren, und einen Vorteil daraus ziehen, dass sie nicht zufällig genug sind?

Und so gaben sie sich alle Mühe, ein Trio von Mathematikern aus Kalifornien einzustellen, von denen einer auch ein versierter Zauberer ist …

…und sie sagten: „Wir haben diese Maschine gebaut. Wir denken, es ist zufällig genug, mit einem Mischen der Karten.“

Ihre eigenen Ingenieure hatten sich alle Mühe gegeben, Tests zu entwickeln, von denen sie dachten, dass sie zeigen würden, ob die Maschine zufällig genug für das Mischen von Karten war, aber sie wollten eine zweite Meinung, und so gingen sie tatsächlich los und holten sich eine.

Und diese Mathematiker sahen sich an, wie die Maschine funktionierte, und kamen, ob Sie es glauben oder nicht, auf eine sogenannte geschlossene Formel.

Sie analysierten es vollständig: wie sich das Ding verhalten würde und welche statistischen Schlussfolgerungen sie daraus ziehen könnten, wie die Karten herauskommen würden.

Sie entdeckten, dass, obwohl die gemischten Karten eine beträchtliche Anzahl guter Zufallstests bestehen würden, die Karten nach dem Mischen immer noch genügend ununterbrochene Sequenzen enthielten, die es ihnen ermöglichten, die nächste Karte doppelt so gut wie den Zufall vorherzusagen.

Und sie konnten die Argumentation zeigen, mit der sie ihren mentalen Algorithmus zum Erraten der nächsten Karte zweimal so gut entwickelt hatten, wie sie sollten …

… sie haben es also nicht nur zuverlässig und wiederholbar gemacht, sie hatten sogar die Mathematik, um formelhaft zu zeigen, warum das der Fall war.

Und die Geschichte ist vielleicht am berühmtesten für die erdige, aber absolut angemessene Antwort des Präsidenten der Firma, die sie eingestellt hat.

Er soll gesagt haben:

Wir sind mit Ihren Schlussfolgerungen nicht zufrieden, aber wir glauben ihnen, und dafür haben wir Sie eingestellt.

Mit anderen Worten, er sagt: „Ich habe nicht bezahlt, um glücklich zu sein. Ich habe bezahlt, um die Fakten herauszufinden und danach zu handeln.“

Wenn nur mehr Leute das tun würden, wenn es darum geht, Tests für ihre Software zu entwickeln!

Weil es einfach ist, eine Reihe von Tests zu erstellen, die Ihr Produkt besteht und bei denen Sie wissen, dass etwas schief gelaufen ist, wenn es fehlschlägt.

Aber es ist überraschend schwierig, eine Reihe von Tests zu finden, bei denen es sich lohnt, Ihr Produkt zu bestehen.

Und genau das tat diese Firma, indem sie Mathematiker einstellte, um zu untersuchen, wie die Kartenmischmaschine funktionierte.

Da sind ziemlich viele Lebenslektionen drin, Doug!

---

DOUG.  Es ist eine lustige Geschichte und sehr interessant.

Jetzt sprechen wir normalerweise jede Woche über eine Art Apple-Update, aber nicht diese Woche.

Nein nein

Diese Woche haben wir für dich bekommen… ein Apple *Megaupdate*:

Apple-Megaupdate: Ventura out, iOS- und iPad-Kernel Zero-Day – jetzt handeln!

---

ENTE.  Wenn Sie ein iPhone oder ein iPad haben, deckt das Update leider einen Zero-Day ab, der derzeit aktiv ausgenutzt wird, was wie immer nach Jailbreak/vollständiger Spyware-Übernahme riecht.

Und wie immer, und vielleicht verständlich, ist Apple sehr zurückhaltend, was genau der Zero-Day ist, wofür er verwendet wird und, ebenso interessant, wer ihn verwendet.

Wenn Sie also ein iPhone oder ein iPad haben, ist dies *definitiv* etwas für Sie.

Und verwirrenderweise Doug …

Ich erkläre das besser, weil es anfangs eigentlich nicht offensichtlich war … und dank einiger Leserhilfe danke Stefaan aus Belgien, der mir Screenshots geschickt und genau erklärt hat, was mit ihm passiert ist, als er sein iPad aktualisiert hat!

Das Update für iPhones und iPads sagte: „Hey, du hast iOS 16.1 und iPadOS 16“. (Weil iPad OS Version 16 verzögert wurde.)

Und das steht im Security Bulletin.

Wenn Sie das Update installieren, wird auf dem grundlegenden Info-Bildschirm nur „iPadOS 16“ angezeigt.

Aber wenn Sie in den Hauptversionsbildschirm hineinzoomen, werden beide Versionen tatsächlich als „iOS/iPadOS 16.1“ angezeigt.

Das ist also das *Upgrade* auf Version 16, plus diese wichtige Zero-Day-Korrektur.

Das ist der schwierige und verwirrende Teil … der Rest ist nur, dass es auch für andere Plattformen viele Korrekturen gibt.

Abgesehen davon, weil Ventura herauskam – macOS 13, mit 112 CVE-nummerierten Patches, obwohl für die meisten Leute sie die Beta nicht gehabt haben werden, also wird dies gleichzeitig *Upgrade* und *Update* sein …

Da macOS 13 herauskam, lässt macOS 10 Catalina drei Versionen hinter sich.

Und es sieht tatsächlich so aus, als würde Apple erst jetzt Previous und Pre-Previous unterstützen.

Es *gibt* also Updates für Big Sur und Monterey, das sind macOS 11 und macOS 12, aber Catalina ist notorisch abwesend, Doug.

Und so ärgerlich wie immer, was wir Ihnen nicht sagen können…

Bedeutet das, dass es einfach immun gegen all diese Korrekturen war?

Bedeutet das, dass es tatsächlich mindestens einige der Korrekturen braucht, aber sie sind noch nicht herausgekommen?

Oder bedeutet das, dass es vom Rand der Welt gefallen ist und Sie nie wieder ein Update erhalten werden, ob es eines braucht oder nicht?

Wir wissen es nicht

---

DOUG.  Ich fühle mich außer Atem, und ich habe in dieser Geschichte nicht einmal die schwere Arbeit geleistet, also danke dafür … das ist eine Menge.

---

ENTE.  Und Sie haben nicht einmal ein iPhone.

---

DOUG.  Genau!

Ich habe ein iPad…

---

ENTE.  Ach, du?

---

DOUG.  … also muss ich gehen und sicherstellen, dass ich es auf den neuesten Stand bringe.

Und das führt uns zu unserer Leserfrage des Tages zur Apple-Story.

Anonymer Kommentator fragt:

Wird das 15.7-Update für iPads dieses Problem lösen oder muss ich auf 16 aktualisieren? Ich warte, bis die kleineren lästigen Fehler in 16 behoben sind, bevor ich aktualisiere.

---

ENTE.  Das ist die zweite Ebene der Verwirrung, wenn Sie so wollen, die dadurch verursacht wird.

Nun, ich verstehe, als iPadOS 15.7 herauskam, war das genau die gleiche Zeit wie iOS 15.7.

Und es war, was, vor etwas mehr als einem Monat, glaube ich?

Das ist also ein altes Sicherheitsupdate.

Und was wir jetzt nicht wissen, ist …

Ist noch ein iOS/iPadOS 15.7.1 in den Startlöchern, das noch nicht herausgekommen ist und Sicherheitslücken behebt, die in den vorherigen Versionen von Betriebssystemen für diese Plattformen vorhanden sind?

Oder geht Ihr Update-Pfad für Sicherheitsupdates für iOS und iPadOS jetzt den Weg der Version 16?

Ich weiß es einfach nicht, und ich weiß nicht, wie du es sagst.

Es sieht also so aus (und es tut mir leid, wenn ich verwirrt klinge, Doug, denn das bin ich!) …

… es sieht so aus, als ob sich der *Update*- und der *Upgrade*-Pfad für Benutzer von iOS und iPadOS 15.7 auf Version Flavor 16 verschieben soll.

Und zum jetzigen Zeitpunkt bedeutet das 16.1.

Das wäre meine Empfehlung, denn dann wissen Sie zumindest, dass Sie den neuesten und besten Build mit den neuesten und besten Sicherheitsfixes haben.

Das ist also die lange Antwort.

Die kurze Antwort lautet: Doug: „Weiß nicht.“

---

DOUG.  Klar wie Schlamm.

---

ENTE.  Ja.

Nun, vielleicht nicht so klar … [GELÄCHTER]

Wenn Sie den Schlamm lange genug stehen lassen, setzen sich die Teile schließlich am Boden ab und es gibt klares Wasser oben.

Vielleicht ist es das, was Sie tun müssen: abwarten und sehen, oder einfach in den sauren Apfel beißen und sich für 16.1 entscheiden.

Sie machen es sich einfach, nicht wahr? [LACHT]

---

DOUG.  Okay, wir werden das im Auge behalten, denn das könnte sich bis zum nächsten Mal ein wenig ändern.

Vielen Dank für das Einsenden dieses Kommentars, anonymer Kommentator.

Wenn Sie eine interessante Geschichte, einen Kommentar oder eine Frage haben, die Sie einreichen möchten, würden wir sie gerne im Podcast lesen.

Sie können eine E-Mail an tips@sophos.com senden, jeden unserer Artikel kommentieren und uns über die sozialen Netzwerke @NakedSecurity kontaktieren.

Das ist unsere Show für heute, vielen Dank fürs Zuhören.

Für Paul Ducklin bin ich Doug Aamoth und erinnere Sie bis zum nächsten Mal an …

---

BEIDE.  Bleib sicher!