S3 Ep104: Có nên khóa những kẻ tấn công ransomware trong bệnh viện suốt đời? [Âm thanh + Văn bản]

Nhấp và kéo vào các sóng âm thanh bên dưới để chuyển đến bất kỳ điểm nào. Bạn cũng có thể nghe trực tiếp trên Soundcloud.

CHÓ.  Rắc rối pháp lý rất nhiều, một bản cập nhật iPhone bí ẩn và Ada Lovelace.

Tất cả điều đó và hơn thế nữa trên Naked Security Podcast.

[CHẾ ĐỘ ÂM NHẠC]

Chào mừng mọi người đến với podcast.

Tôi là Doug Aamoth; anh ấy là Paul Ducklin.

Paul, hôm nay bạn thế nào?

---

VỊT.  Tôi rất khỏe, Doug…

… Ngoại trừ một số vấn đề về micrô, vì tôi đã đi trên đường một chút.

Vì vậy, nếu chất lượng âm thanh không hoàn hảo trong tuần này, đó là vì tôi đã phải sử dụng thiết bị ghi âm thay thế.

---

CHÓ.  Chà, điều đó dẫn chúng tôi một cách chuyên nghiệp vào Lịch sử công nghệ phân khúc về sự không hoàn hảo.

---

VỊT.  [IRONIC] Ồ, cảm ơn Doug. [LỪA ĐẢO]

---

CHÓ.  Vào ngày 11 tháng 1958 năm XNUMX, NASA đã phóng tàu thăm dò không gian đầu tiên của mình, chiếc Pioneer One.

Nó được thiết kế để quay quanh mặt trăng, nhưng không đến được quỹ đạo mặt trăng do lỗi hướng dẫn, rơi trở lại Trái đất và bốc cháy khi quay trở lại.

Mặc dù nó vẫn thu thập dữ liệu có giá trị trong suốt 43 giờ bay.

---

VỊT.  Vâng, tôi tin rằng nó cách Trái đất 113,000 km ... và Mặt trăng chỉ cách 400,000 km.

Tôi hiểu là nó đã đi chệch mục tiêu một chút và sau đó họ đã cố gắng sửa lại, nhưng họ không có mức độ kiểm soát chi tiết như những ngày này, nơi bạn chạy động cơ tên lửa cho một vụ nổ nhỏ.

Vì vậy, họ đã sửa lại, nhưng họ chỉ có thể sửa rất nhiều ... và cuối cùng họ đã tìm ra, "Chúng tôi sẽ không lên được mặt trăng, nhưng có lẽ chúng tôi có thể đưa nó vào quỹ đạo Trái đất cao để nó tiếp tục quay quanh Trái đất và chúng ta có thể tiếp tục nhận được các phép đo khoa học? "

Nhưng cuối cùng, đó là một câu hỏi, "Điều gì sẽ xảy ra ... [LAUGHS] phải đi xuống."

---

CHÓ.  Một cách chính xác. [LỪA ĐẢO]

---

VỊT.  Và, như bạn nói, nó giống như bắn một viên đạn rất, rất, rất mạnh vào không gian vũ trụ, cao hơn đường Kármán, chỉ 100km, nhưng theo hướng mà nó không thực sự thoát khỏi ảnh hưởng của Trái đất hoàn toàn.

---

CHÓ.  Tuy nhiên, khá tốt cho một lần thử đầu tiên?

Ý tôi là, không tệ… đó là năm 1958, bạn mong đợi điều gì?

Ý tôi là, họ đã làm hết sức mình và đã đi được một phần ba chặng đường lên mặt trăng.

Chà, nói về những người không cố gắng hết sức và gặp sự cố, chúng ta có một loại câu chuyện pháp lý chớp nhoáng ở đây…

… Bắt đầu với người bạn của chúng tôi là Sebastien Vachon-Desjardins, người mà chúng tôi đã từng nói chuyện trước đây.

Anh ấy đang ở nước sôi ở Florida và có lẽ xa hơn nữa:

---

VỊT.  Vâng, chúng tôi đã nói về anh ấy trên podcast, tôi nghĩ, một vài lần.

Anh ta là một chi nhánh nổi tiếng bận rộn của nhóm ransomware-as-a-service của NetWalker.

Nói cách khác, anh ta không viết ransomware… anh ta là một trong những kẻ tấn công, đột nhập và triển khai nó.

Theo những gì tôi biết, anh ta khá quan tâm đến ransomware: anh ta đã tham gia một số băng nhóm như vậy; đã đăng ký đến một số câu lạc bộ.

Rõ ràng, anh ta có thể đã kiếm được tới XNUMX/XNUMX tổng thu nhập của băng đảng NetWalker, vì vậy anh ta rất mạnh mẽ.

Vì vậy, chúng ta đang nói về hàng triệu đô la mà anh ấy đã kiếm được cho chính mình, và tất nhiên, 30% trong số đó sẽ thuộc về những người cốt lõi.

Anh ta bị bắt ở Canada, anh ta bị đưa vào tù…

… Và sau đó anh ta được đặc cách ra tù ở Canada.

Không phải vì họ cảm thấy có lỗi với anh ta: họ đã thả anh ta ra khỏi nhà tù để anh ta có thể bị dẫn độ về Mỹ, nơi anh ta quyết định nhận tội và phải chịu 20 năm.

Rõ ràng khi anh ta kết thúc 20 năm tù liên bang đó, anh ta sẽ bị trục xuất về Canada và anh ta sẽ quay trở lại thẳng để kết thúc XNUMX năm ở Canada.

Và nếu tôi nhớ không lầm, thẩm phán trong trường hợp đó, lưu ý rằng đây là một băng đảng ransomware, trong số những thứ khác, khét tiếng với việc tấn công các cơ sở chăm sóc sức khỏe, bệnh viện; những người thực sự, thực sự không có khả năng chi trả, và nơi thực sự xảy ra sự cố, thực sự ảnh hưởng trực tiếp đến cuộc sống của mọi người…

… Thẩm phán rõ ràng đã nói những lời có tác dụng, “Nếu bạn không thực sự quyết định nhận tội, hãy đưa tay lên nhận tội, tôi sẽ kết án bạn tù chung thân.”

---

CHÓ.  Vâng, điều đó thật hoang dã!

OK, cũng hơi thấp: cựu CSO của Uber, Joe Sullivan… câu chuyện này cũng là hoang dã!

Họ đang trả lời cho một vi phạm đã xảy ra với các cơ quan quản lý và trong khi họ trả lời cho vi phạm đã xảy ra, * một vi phạm * khác sẽ xảy ra và có các khoản che đậy:

---

VỊT.  Vâng, đó là một câu chuyện được nhiều cộng đồng an ninh mạng theo dõi mạnh mẽ…

Bởi vì Uber đã trả đủ loại hình phạt, và rõ ràng là họ đã đồng ý hợp tác, nhưng đây không phải là công ty bị tính phí.

Đây là cá nhân được cho là phụ trách bảo mật - trước đây anh ta đã làm việc tại Facebook, sau đó bị lôi kéo vào Uber.

Theo như bồi thẩm đoàn có liên quan, không quá nhiều mà kẻ gian được trả tiền trong trường hợp này, mà là họ được trả tiền để giả vờ rằng vụ vi phạm dữ liệu là một khoản tiền thưởng lỗi; rằng họ tiết lộ nó một cách có trách nhiệm thay vì thực sự đánh cắp dữ liệu và sau đó tống tiền nó.

Và, tất nhiên, phần thứ hai của điều này, tôi tin rằng… Tôi không chắc bạn nói từ này như thế nào, bởi vì bạn không nghe thấy nó ở Anh, nhưng đó là “sự bất ngờ”… Tôi nghĩ đó là cách bạn nói. .

Về cơ bản, nó có nghĩa là "che đậy tội phạm".

Và, tất nhiên, điều đó giải quyết một thực tế rằng, như bạn nói, họ đang trong quá trình điều tra, họ đang được FTC xem xét… bạn sắp thuyết phục họ. "Đúng vậy, chúng tôi đã đặt ra rất nhiều biện pháp phòng ngừa kể từ lần trước."

Và khi đang cố gắng bào chữa cho trường hợp của bạn và nói: “Không, không, chúng tôi tốt hơn chúng tôi rất nhiều”…

… Oh, bạn không chỉ mất một số hồ sơ, nó là gì?

Hơn 50 triệu hồ sơ liên quan đến những người đã sử dụng Ubers, khách hàng.

Bảy triệu tài xế, bao gồm số giấy phép lái xe cho 600,000 tài xế và số SSN (số an sinh xã hội) là 60,000.

Vì vậy, đó là khá nghiêm trọng!

Và sau đó chỉ cố gắng nói, "Chà, hãy [COUGHS CÓ Ý NGHĨA] làm điều đó để chúng ta không phải nói với bất kỳ ai, và sau đó chúng ta hãy bắt kẻ gian ký các thỏa thuận không tiết lộ." [LỪA ĐẢO]

Loa1
Ôi trời!

---

VỊT.  [LAUGHING] Không vui chút nào, Doug!

---

CHÓ.  Rất tốt.

Và một chút nữa được cắt và sấy khô…

Nếu bạn tạo một ứng dụng có mục đích được kết nối với WhatsApp và bạn thu thập thông tin đăng nhập của người dùng, WhatsApp sẽ đến sau bạn!

---

VỊT.  Vâng, đây là trường hợp của WhatsApp và Meta.

Nghe có vẻ hơi kỳ lạ khi nói cả hai, nhưng tôi đoán cả hai pháp nhân (WhatsApp thuộc sở hữu của Meta) đã quyết định, "Chà, nếu bạn không thể đánh bại họ, hãy kiện họ!"

Vì vậy, đây là hành vi trộm cắp thông tin xác thực, về cơ bản các tài khoản có thể được sử dụng để gửi tin nhắn giả mạo.

Thư rác, về cơ bản, nhưng có lẽ cũng có vô số trò gian lận, phải không?

Nếu bạn có mật khẩu của tôi, bạn có thể liên hệ với tất cả bạn bè của tôi và nói, "Này, tôi đã kiếm được rất nhiều tiền từ trò lừa đảo tiền điện tử này", và bởi vì * tôi * nói điều đó thay vì một số cá nhân ngẫu nhiên trên internet, bạn có thể thiên về tin vào điều đó.

Vì vậy, WhatsApp đã tìm ra, “Đúng vậy, chúng tôi sẽ kiện bạn và cố gắng đóng cửa các công ty của bạn theo cách đó. Và điều đó về cơ bản sẽ cung cấp cho chúng tôi một phương tiện để buộc tất cả các ứng dụng này bị xóa, bất cứ nơi nào chúng có thể xuất hiện. "

Thật không may, kẻ gian đã thực hiện đủ trò gian trá để đưa họ vào Google Play.

Vì vậy, lời buộc tội là họ “Đã đánh lừa hơn 1 triệu người dùng WhatsApp vào việc tự xâm nhập tài khoản của họ như một phần của cuộc tấn công chiếm đoạt tài khoản”.

Và bằng cách tự thỏa hiệp, điều đó có nghĩa là họ vừa giới thiệu cho người dùng một trang đăng nhập giả mạo và về cơ bản đã ủy quyền cho họ.

Có lẽ họ đã giữ chúng và lạm dụng chúng sau đó…

---

CHÓ.  OK, chúng tôi sẽ theo dõi điều đó.

Bây giờ, xin vui lòng cho chúng tôi biết, một nữ bá tước sống vào nửa đầu thế kỷ 19 có liên quan gì đến máy tính và khoa học máy tính?

---

VỊT.  Đó sẽ là Ada Lovelace.

Hoặc, chính thức hơn, Ada, nữ bá tước Lovelace… Cô ấy kết hôn với một người được gọi là Lord Lovelace, vì vậy cô ấy trở thành Lady Lovelace:

Cô ấy thuộc dòng dõi quý tộc, và trong những ngày đó, phụ nữ thường không tham gia vào khoa học.

Nhưng cô ấy đã làm: cô ấy rất quan tâm đến toán học.

Và cô ấy đã gặp Charles Babbage khi còn là một thiếu niên, theo tôi là một thiếu niên, người nổi tiếng vì đã phát minh ra Công cụ chênh lệch, có thể tính toán những thứ như bảng trig.

Vì vậy, chính phủ Vương quốc Anh quan tâm đến việc bạn có thể làm phép lượng giác ở đâu, bạn có thể làm bảng pháo, và điều đó có nghĩa là bạn có thể làm cho xạ thủ của mình chính xác hơn trên đất liền và trên biển.

Nhưng sau đó Babbage nhận ra, “Đó chỉ là một chiếc máy tính bỏ túi (theo thuật ngữ hiện đại). Tại sao tôi không chế tạo một máy tính đa năng? ”

Và anh ấy đã thiết kế một thứ gọi là Công cụ phân tích.

Và đó là điều Ada Lovelace thực sự quan tâm.

Trên thực tế, tôi tin rằng có lúc cô ấy đã đề nghị trở thành VC của Babbage, nhà đầu tư mạo hiểm của anh ấy: “Tôi sẽ mang tiền về, nhưng bạn phải để lại việc điều hành công việc kinh doanh cho tôi. Hãy để tôi xây dựng công việc kinh doanh cho bạn!

---

CHÓ.  Nó thực sự tuyệt vời.

Đối với bất kỳ ai đang nghe điều này…

… Khi bạn đang nghe câu chuyện này, tôi muốn bạn ghi nhớ rằng cô ấy đã qua đời ở tuổi 36.

Cô ấy đang làm việc này tất cả ở độ tuổi 20 và đầu 30.

Những điều tuyệt vời!

---

VỊT.  Cô ấy chết vì ung thư tử cung nên cuối cùng cô ấy thực sự rất đau đớn và không thể làm việc được nữa.

Và cô ấy không chỉ muốn trở thành người kinh doanh đằng sau nó, "Này, hãy để tôi xây dựng một doanh nghiệp."

Babbage, tôi nghĩ, đã có một chút cay đắng đối với cơ sở vì đã không đến; anh ấy muốn làm điều đó theo cách truyền thống hơn, "Không, tôi muốn chứng minh mình là con đường đúng đắn", thay vì nói, "Vâng, chỉ cần đi và tìm cho tôi tiền", đó có thể là cách tiếp cận ngày nay.

Vì vậy, khía cạnh kinh doanh mà cô ấy đề xuất không bao giờ thành công.

Nhưng về cơ bản cô ấy cũng là lập trình viên máy tính đầu tiên trên thế giới… chắc chắn cô ấy là lập trình viên máy tính được xuất bản đầu tiên.

Bạn có thể tưởng tượng Babbage đang mày mò với Công cụ phân tích của mình… có lẽ anh ấy đã nghĩ ra một số chương trình trước khi cô ấy làm, nhưng anh ấy chưa bao giờ nhận ra chúng.

Và chắc chắn là anh ấy chưa bao giờ xuất bản, giống như cô ấy, một luận thuyết về lý do tại sao Công cụ phân tích này lại quan trọng, và thực tế là nó thực sự có thể làm được nhiều điều hơn là chỉ tính toán số.

Cô ấy có tầm nhìn này rằng các máy tính cộng các số lại với nhau, nhưng nếu bạn có thể thực hiện các phép tính số và dựa trên cơ sở đó đưa ra quyết định (cái mà bây giờ chúng ta có thể gọi là NẾU… THÌ… LẠI), thì bạn thực sự có thể biểu diễn và làm việc với tất cả các loại khác chẳng hạn như các mệnh đề logic, đưa ra các bằng chứng hoặc thậm chí làm việc với âm nhạc, nếu bạn có một số cách thể hiện âm nhạc bằng toán học hoặc số học.

Bây giờ, tôi không biết liệu nhạc kỹ thuật số có bao giờ phát triển hay không, Doug, nhưng nếu nó có…

---

CHÓ.  [LAUGHS] Chúng tôi có Ada Lovelace để cảm ơn!

---

VỊT.  Cô ấy đã ở đó vào năm 1840, suy nghĩ và viết về điều này!

Dù tin hay không, cô ấy là con gái của nhà thơ nổi tiếng (hoặc khét tiếng) Lord Byron.

Rõ ràng là mẹ và cha cô ấy đã chia tay nhau, vì vậy tôi không tin rằng cô ấy đã từng gặp anh ấy - cô ấy giống như một “đứa con gái vô danh” đối với anh ấy.

Bây giờ, Byron nổi tiếng một lần đang đi nghỉ ở Thụy Sĩ, nơi mưa đã giữ anh và những người bạn mà anh đi nghỉ cùng trong nhà.

Và những người bạn đó là Percy và Mary Shelley.

Và Byron nói, "Này, chúng ta hãy có một cuộc thi viết truyện kinh dị!" [CON GÁI]

Và những gì anh ta đã làm, và những gì Percy Shelley đã làm, chẳng ra gì cả; không ai nhớ họ đã viết gì.

Nhưng Mary Shelley ... đó rõ ràng là nơi cô ấy nghĩ ra Frankenstein…

---

CHÓ.  Wow!

---

VỊT.  … Hoặc Prometheus hiện đại, về cơ bản là tất cả về trí tuệ nhân tạo và máy suy nghĩ do con người tạo ra, nếu bạn thích, và nó kết thúc tồi tệ như thế nào.

Và Ada, con gái của Byron, thực sự là người đầu tiên viết một cách khoa học về "Máy móc có thể suy nghĩ không?" trong các ghi chú mà cô ấy đã viết trên Công cụ phân tích.

Cô * không * chia sẻ những lo lắng về câu chuyện kinh dị giống như những người bạn của cha cô.

Cách cô ấy viết nó (các nhà khoa học thường có xu hướng văn học hơn vào thời đó):

Công cụ phân tích không có giả thiết nào bắt nguồn từ bất kỳ thứ gì. Nó có thể làm bất cứ điều gì chúng ta biết cách ra lệnh cho nó thực hiện. Nó có thể tuân theo phân tích, nhưng nó không có khả năng đoán trước bất kỳ mối quan hệ phân tích hoặc sự thật nào.

Vì vậy, cô xem các thiết bị máy tính, các thiết bị tính toán đa năng, là một cách giúp chúng ta hiểu và tìm ra những thứ mà trí óc con người bình thường không thể làm được.

Nhưng tôi không nghĩ cô ấy nghĩ rằng chúng có thể thay thế được trí óc của con người.

---

CHÓ.  Và một lần nữa, hãy nhớ rằng cô ấy viết bài này vào năm 1842…

---

VỊT.  Chính xác!

Đó là một điều để hack trong cuộc sống thực; đó là một cách khác để xâm nhập vào các máy tính tưởng tượng mà bạn biết * có thể * tồn tại, nhưng chưa ai chế tạo được.

---

CHÓ.  Chính xác.

---

VỊT.  Vấn đề là, bởi vì những máy tính này là cơ khí và cần có bánh răng cơ khí, chúng đòi hỏi sự hoàn hảo tuyệt đối trong quá trình sản xuất.

Hoặc chỉ có một lỗi tích lũy này sẽ khiến chúng bị khóa do phản ứng dữ dội, thực tế là các bánh răng không ăn khớp hoàn hảo.

Và tôi nghĩ, như chúng tôi đã nói trong podcast trước đây, trớ trêu thay, nó đã thiết kế máy tính kỹ thuật số, về cơ bản là phần mở rộng của Công cụ phân tích, có thể điều khiển máy cắt kim loại được vi tính hóa với đủ độ chính xác…

… Trước khi chúng ta có thể tạo ra Công cụ khác biệt hoặc Công cụ phân tích thực sự hoạt động.

Và nếu đó không phải là một câu chuyện vòng tròn hấp dẫn, tôi không biết là gì!

Vì vậy, Ada Lovelace đã ở giữa điều này: nhà quảng cáo; người truyền đạo; nhà khoa học; nhà toán học; nhà khoa học máy tính; và với tư cách là một nhà đầu tư mạo hiểm mới chớm nở, nói với Babbage, “Hãy từ bỏ mọi lợi ích kinh doanh của bạn; giao chúng cho tôi. Tôi di chuyển đúng vòng tròn để tìm tiền cho bạn - Tôi sẽ nhận được khoản đầu tư! Hãy xem chúng ta có thể làm gì với điều này! ”

Và, tốt hơn hay xấu hơn, Babbage đã phản đối điều đó và dường như đã chết về cơ bản trong cảnh nghèo đói, đúng hơn là một người đàn ông suy sụp.

Người ta tự hỏi điều gì có thể đã xảy ra nếu anh ta làm điều đó…

---

CHÓ.  Đó là một câu chuyện hấp dẫn.

Tôi khuyến khích bạn đến Naked Security để đọc nó.

Nó được gọi là Di chuyển qua, Patch Thứ Ba - đó là ngày Ada Lovelace.

Đọc dài rất hay, rất thú vị!

Và bây giờ chúng ta hãy kết thúc với điều này bản cập nhật iPhone bí ẩn, được gọi là "sửa một lỗi".

Những điều này không phổ biến:

---

VỊT.  Không, chủ yếu là khi bạn nhận được các bản cập nhật Apple của mình (vì bạn không biết khi nào chúng đến - không có Bản vá thứ ba mà bạn có thể dự đoán), chúng sẽ đến…

… Có một danh sách khổng lồ những thứ mà họ đã sửa kể từ lần cuối cùng họ làm.

Và đôi khi có trường hợp khẩn cấp lớn kéo dài trong XNUMX ngày và bạn nhận được bản cập nhật của Apple có nội dung: “Ồ, chúng tôi đang sửa một hoặc có thể là hai thứ.”

Và cái này vừa bất ngờ xuất hiện, chỉ dành cho iOS 16.

Tôi chuẩn bị đi ngủ, Doug… đã khá muộn, và tôi nghĩ, tôi sẽ xem qua email của mình, xem Doug có gửi cho tôi gì không. [CON GÁI]

Và có điều này từ Apple: iOS 16.0.3.

Và tôi nghĩ, “Thật là đột ngột! Tôi tự hỏi có chuyện gì vậy? Phải là một ngày không. ”

Vì vậy, tôi đã xem bản tin bảo mật ... nó không phải là một ngày không; nó chỉ là một cuộc tấn công từ chối dịch vụ (DoS); không phải là một thực thi mã từ xa thực tế.

Ứng dụng Thư có thể bị lỗi.

Tuy nhiên, Apple bất ngờ tung ra bản cập nhật này và nó chỉ nói:

Ảnh hưởng: Việc xử lý một thông điệp thư được tạo thủ công có thể dẫn đến việc từ chối dịch vụ. Vấn đề xác thực đầu vào đã được giải quyết với xác thực đầu vào được cải thiện.

Việc sử dụng kép từ xác thực một cách kỳ lạ ở đó…

CVE-2022-22658.

Và đó là tất cả những gì chúng tôi biết.

Và nó không nói, "Ồ, nó đã được báo cáo bởi một nhóm săn lỗi như vậy", hoặc, "Cảm ơn một nhà nghiên cứu ẩn danh", vì vậy tôi cho rằng họ đã tự tìm thấy nó.

Và tôi chỉ có thể đoán rằng họ cảm thấy cần phải khắc phục sự cố này thực sự nhanh chóng vì nó có thể vô tình khóa điện thoại của bạn hoặc khiến nó gần như không sử dụng được.

Bởi vì đó là vấn đề với lỗi từ chối dịch vụ khi chúng ở trong ứng dụng nhắn tin, phải không?

Bạn nghĩ đến việc từ chối dịch vụ… ứng dụng bị treo; woo hoo, bạn chỉ cần bắt đầu lại nó.

Nhưng vấn đề với một ứng dụng nhắn tin là: [A] nó có xu hướng chạy ở chế độ nền, vì vậy nó có thể nhận tin nhắn bất cứ lúc nào; [B] bạn không được chọn người gửi tin nhắn cho mình, những người khác thì có; và [C] có thể là để vào ứng dụng xóa thông báo lừa đảo, bạn phải đợi ứng dụng tải và nó sẽ quyết định. "Ồ. Tôi cần cho bạn thấy thông điệp này mà bạn muốn xóa… ”, CRASH!

Những gì tôi gọi là CRASH: GOTO CRASHlỗi.

Nói cách khác, có thể bạn không thể sửa nó, vì trong khi khởi động điện thoại hoặc nếu bạn khởi động lại điện thoại, vào thời điểm bạn có thể nhảy vào và nhấn xóa trên tin nhắn…

… Ứng dụng đã bị lỗi một lần nữa; quá muộn!

Chúng tôi biết rằng đã có những sự cố được gọi là "văn bản chết" trong iOS trước đây.

Chúng tôi có một danh sách của họ trong bài báo về Bảo mật khỏa thân - họ đã tạo ra những câu chuyện khá hấp dẫn.

Vì vậy, chúng tôi không biết liệu đó có phải là một hình ảnh hay không, cách mà glyphs (hình ảnh ký tự) được hình thành, sự kết hợp ký tự, hướng văn bản… chúng tôi không biết.

Nó chắc chắn đáng để nhận được bản vá, bởi vì cảm giác ruột của tôi là nếu Apple nghĩ rằng nó đủ quan trọng để đưa nó vào bản tin bảo mật, có bản sửa lỗi duy nhất và duy nhất, khi nó không phải là ngày XNUMX và nó không phải là mã từ xa thực thi, và nó không phải là nâng cao đặc quyền…

… Thì có lẽ họ đang lo lắng điều gì sẽ xảy ra nếu có ai khác phát hiện ra điều đó!

Vì vậy, có lẽ bạn cũng nên như vậy.

Doug cũng vậy, một lời nhắc nhở tuyệt vời rằng mặc dù mọi người có xu hướng ưu tiên các lỗ hổng từ việc thực thi mã từ xa ở trên cùng; sau đó nâng cao đặc quyền rồi rò rỉ thông tin…

… Từ chối dịch vụ là, “OK, máy chủ có thể gặp sự cố, nhưng tôi luôn có thể khởi động lại.”

Tuy nhiên, đó có thể là một loại vấn đề thực sự rắc rối.

Mặc dù nó có thể không đánh cắp dữ liệu của bạn hoặc ransomware các tệp của bạn, tuy nhiên, nó có thể ngăn bạn sử dụng máy tính, lấy dữ liệu của bạn và thực hiện công việc thực sự.

---

CHÓ.  Có, chúng tôi gặp sự cố ở đây mà bạn cần cập nhật, nhưng nếu bạn đang gặp sự cố này, bạn có thể không nhận được bản cập nhật nếu điện thoại của bạn tiếp tục bị lỗi!

Vì vậy, điều đó dẫn chúng tôi đến câu hỏi độc giả của chúng tôi trong tuần.

Ở đây trên bài đăng mà chúng ta đang nói đến, độc giả Peter của Naked Security hỏi:

Không phải người dùng Apple ở đây, nhưng không có tùy chọn nào cho người dùng Apple để đăng nhập vào tài khoản email của họ trong một trình duyệt mà hy vọng không bị lỗi như ứng dụng và xóa thư ở đó thay vì xóa thiết bị của bạn?

---

VỊT.  Chà, điều đó chắc chắn đúng với tôi.

Theo cách tôi sử dụng iPhone, tôi có thể đọc cùng một thư trên điện thoại của mình như trong ứng dụng web trên trình duyệt của mình.

Vì vậy, đó là một điểm khởi đầu tốt, nếu bạn đang khóa điện thoại và nếu bạn có một chiếc máy tính xách tay.

Vấn đề là khi bạn đã xóa các thư, chẳng hạn như trong trình duyệt web hoặc qua ứng dụng gốc trên máy tính xách tay của bạn…

… Ứng dụng Thư trên điện thoại của bạn vẫn phải đồng bộ hóa với máy chủ để biết rằng máy chủ phải xóa những tin nhắn đó.

Và nếu, trên đường đến đó, nó xử lý thông báo mà bây giờ nó sắp xóa, nó vẫn có thể rơi vào tình huống crashtastic, phải không?

Vì vậy, vấn đề với nhận xét đó là câu trả lời thực sự duy nhất mà tôi có thể đưa ra là: “Không đủ thông tin. Không thể nói chắc chắn. Nhưng tôi rất vui, hy vọng bạn có thể làm được điều đó! ”

---

CHÓ.  Hãy thử một lần, ít nhất.

---

VỊT.  Vâng, hãy thử!

Nếu bạn thực sự bị khóa khiến điện thoại của bạn bị treo ngay khi khởi động, bạn muốn nghĩ rằng bạn có thể thực hiện cái mà Apple gọi là DFU (cập nhật chương trình cơ sở trực tiếp), về cơ bản bạn sẽ bắt đầu lại từ đầu.

Nhưng vấn đề là để kích hoạt điều đó (để ngăn chặn nó được sử dụng cho mục đích xấu), về cơ bản nó liên quan đến việc xóa sạch và bắt đầu lại.

Vì vậy, bạn sẽ mất tất cả dữ liệu trên điện thoại, giả sử rằng nó sẽ hoạt động.

Vì vậy, tôi đoán câu trả lời cho câu hỏi đó là…

Trước tiên, hãy thử cách giải quyết ít xâm phạm nhất mà bạn có thể làm được.

Hãy thử “đánh bại ứng dụng” trên điện thoại, ứng dụng nhắn tin.

Đây là những gì đã làm việc cho một số thứ iOS trước đây.

Về cơ bản, bạn khởi động lại điện thoại của mình; [TĂNG TỐC] bạn nhập mã khóa của mình rất nhanh; [NÓI THỰC SỰ NHANH CHÓNG] bạn vào ứng dụng nhanh nhất có thể và nhấp vào xóa…

… Trước khi điện thoại đến đó và bắt đầu quá trình mà cuối cùng hết bộ nhớ.

Vì vậy, bạn có thể có đủ thời gian để làm điều đó trên chính điện thoại.

Nếu không, hãy thử làm điều đó thông qua một ứng dụng bên ngoài quản lý cùng một bộ dữ liệu.

Và nếu hoàn toàn bị mắc kẹt, thì tôi cho rằng flash-và-cài đặt lại là giải pháp duy nhất của bạn.

---

CHÓ.  Được rồi, cảm ơn Peter, đã gửi nó tới.

Nếu bạn có một câu chuyện, nhận xét hoặc câu hỏi thú vị mà bạn muốn gửi, chúng tôi muốn đọc trên podcast.

Bạn có thể gửi email tới tips@sophos.com; bạn có thể nhận xét về bất kỳ một trong các bài báo của chúng tôi; hoặc bạn có thể đánh giá chúng tôi trên mạng xã hội: @nakedsecurity.

Đó là chương trình của chúng tôi cho ngày hôm nay.

Cảm ơn rất nhiều vì đã lắng nghe.

Đối với Paul Ducklin, tôi là Doug Aamoth, sẽ nhắc bạn cho đến lần sau hãy…

---

CẢ HAI.  Giữ an toàn.

[CHẾ ĐỘ ÂM NHẠC]