VÒNG VÒNG
Không có trình phát âm thanh bên dưới? Nghe trực tiếp trên Soundcloud.
Với Doug Aamoth và Paul Ducklin. Nhạc giới thiệu và kết thúc bởi Edith Mudge.
Bạn có thể lắng nghe chúng tôi trên Soundcloud, Podcast của Apple, Google Podcasts, Spotify, người may quần áo và bất cứ nơi nào tìm thấy podcast tốt. Hoặc chỉ cần thả URL của nguồn cấp dữ liệu RSS của chúng tôi vào podcatcher yêu thích của bạn.
ĐỌC BẢNG BIỂU
CHÓ. Juicejacking, liệu pháp tâm lý cộng đồng, và Vui cùng FORTRAN.
Tất cả những điều đó và hơn thế nữa trên podcast Naked Security.
[CHẾ ĐỘ ÂM NHẠC]
Chào mừng mọi người đến với podcast.
Tôi là Doug Aamoth; anh ấy là Paul Ducklin.
Paul, hôm nay bạn thế nào?
VỊT. Tôi rất khỏe, Douglas.
Tôi bị hấp dẫn bởi cụm từ “Vui cùng FORTRAN” của bạn.
Bây giờ, bản thân tôi cũng biết FORTRAN và vui vẻ không phải là tính từ đầu tiên nảy ra trong đầu để mô tả nó. [CƯỜI]
CHÓ. Chà, bạn có thể nói, “Bạn không thể đánh vần 'FORTRAN' mà không có 'vui vẻ'."
Điều đó không hoàn toàn chính xác, nhưng…
VỊT. Nó thực sự đáng kinh ngạc *không chính xác*, Doug! [CƯỜI]
CHÓ. [CƯA] Hãy ghi nhớ điều đó, bởi vì điều này liên quan đến sự không chính xác.
Tuần này, vào ngày 19 tháng 1957 năm XNUMX, chương trình FORTRAN đầu tiên đã chạy.
FORTRAN đã đơn giản hóa việc lập trình, bắt đầu với một chương trình chạy tại Westinghouse đã gây ra lỗi trong lần thử đầu tiên – nó tạo ra chẩn đoán “thiếu dấu phẩy”.
Nhưng nỗ lực thứ hai đã thành công.
Làm thế nào để bạn thích điều đó?
VỊT. Điều đó thật thú vị, Doug, bởi vì của riêng tôi – thứ mà tôi luôn nghĩ là 'kiến thức', nhưng hóa ra cũng có thể là một huyền thoại đô thị…
…câu chuyện của riêng tôi về FORTRAN bắt nguồn từ khoảng 1 năm sau đó: sự ra mắt của tàu thăm dò không gian Mariner XNUMX.
Tàu vũ trụ không phải lúc nào cũng đi theo chính xác nơi chúng phải đến và chúng phải tự sửa chữa.
Bây giờ, bạn hãy tưởng tượng loại tính toán liên quan - điều đó khá khó vào những năm 1960.
Và tôi đã được nói điều này một cách bán chính thức (có nghĩa là “Tôi đã nghe điều đó từ một giảng viên ở trường đại học khi tôi đang học khoa học máy tính, nhưng nó không có trong giáo trình”)…
..rõ ràng, lỗi đó nằm ở một dòng trong FORTRAN đáng lẽ phải nói DO 51 I = 1,100
, đó là một "vòng lặp for".
Nó nói, "Thực hiện 100 vòng lặp, lên đến và bao gồm cả dòng 51."
Nhưng người đã gõ DO 51 I = 1.100
, có dấu chấm, không phải dấu phẩy.
FORTRAN bỏ qua khoảng trắng, vì vậy nó được giải thích DO51I =
như một phép gán biến, gán cho biến đó giá trị 1.100
, và sau đó đi vòng lặp một lần… bởi vì nó không được yêu cầu lặp ở dòng 51 và dòng 51 chỉ được thực hiện một lần.
Tôi luôn cho rằng đó là vòng lặp hiệu chỉnh – lẽ ra nó phải thực hiện hàng trăm lần để đưa tàu vũ trụ trở lại mục tiêu, và nó chỉ thực hiện một lần duy nhất, do đó nó không hoạt động.
[LỪA DỐI]
Và có vẻ như nó không thực sự đúng… có thể là một truyền thuyết đô thị.
Bởi vì có một câu chuyện khác nói rằng lỗi thực sự là do vấn đề trong thông số kỹ thuật, nơi ai đó đã viết ra các phương trình cần được mã hóa.
Và đối với một trong các biến, họ nói, "Sử dụng giá trị hiện tại của biến này", trong khi trên thực tế, bạn phải làm mịn giá trị của biến đó bằng cách lấy trung bình nó trên các lần đọc trước đó.
Bạn có thể tưởng tượng tại sao điều đó lại làm chệch hướng nếu nó liên quan đến việc điều chỉnh hướng đi.
Vì vậy, tôi không biết cái nào là đúng, nhưng tôi thích DO 51 I = 1,100
câu chuyện, và tôi dự định sẽ tiếp tục ăn tối trên đó càng lâu càng tốt, Doug.
CHÓ. [CƯA] Như tôi đã nói, "Vui cùng FORTRAN".
VỊT. OK, tôi hiểu quan điểm của bạn, Doug.
VỊT. Cả hai câu chuyện đó đều thú vị…
Một cái gì đó không vui lắm - một cập nhật đến một cập nhật đến một cập nhật.
Tôi tin rằng đây ít nhất là lần thứ ba chúng ta nói về câu chuyện này, nhưng đây là phòng khám trị liệu tâm lý ở Phần Lan, nơi lưu trữ tất cả dữ liệu bệnh nhân của họ, bao gồm các ghi chú từ các phiên trị liệu, trực tuyến trên đám mây với mật khẩu mặc định, được sử dụng bởi kẻ làm ác.
Những kẻ bất lương đó đã cố lấy một số tiền từ công ty.
Và khi công ty nói không, họ đã theo đuổi bệnh nhân.
Cựu CEO phòng khám tâm lý trị liệu bị vi phạm lãnh án tù vì bảo mật dữ liệu kém
VỊT. Làm thế nào khủng khiếp phải đã có được, eh?
Bởi vì họ không chỉ có số ID của bệnh nhân và chi tiết tài chính về cách họ chi trả cho việc điều trị.
Và không chỉ là họ có một số ghi chú… rõ ràng, các phiên đã được ghi lại và sao chép, và *những điều đó* đã được tải lên.
Vì vậy, về cơ bản họ có tất cả những gì bạn đã nói với bác sĩ trị liệu của mình…
…và người ta tự hỏi liệu bạn có biết rằng lời nói của bạn sẽ được lưu giữ mãi mãi không.
Có thể đã được in nhỏ ở đâu đó.
Dù sao, như bạn nói, đó là những gì đã xảy ra.
Kẻ tống tiền đã truy lùng công ty với giá 450,000 euro (khoảng nửa triệu đô la Mỹ vào thời điểm đó) và họ không có ý định trả tiền.
Vì vậy, họ nghĩ, “Này, tại sao mình không liên hệ với tất cả các bệnh nhân? Bởi vì tôi có tất cả chi tiết liên lạc của họ, *và* tôi có tất cả những bí mật và nỗi sợ hãi sâu kín nhất, đen tối nhất của họ.”
Kẻ lừa đảo hình dung, “Tôi có thể liên hệ với họ và nói, 'Bạn có 24 giờ để trả cho tôi 200 €; sau đó tôi sẽ cho bạn 48 giờ để trả cho tôi €500; và sau đó tôi sẽ doxx bạn – Tôi sẽ công bố dữ liệu của bạn cho mọi người xem'.”
Và tôi đã đọc một bài báo gợi ý rằng khi bệnh nhân không nghĩ ra tiền, anh ấy thực sự đã tìm thấy những người được nhắc đến trong cuộc trò chuyện của họ.
CHÓ. Không phải mẹ của ai đó đã bị cuốn vào chuyện này hay sao?
VỊT. Có!
Họ nói, “Này, chúng tôi có cuộc trò chuyện với con trai của bạn; chúng tôi sẽ loại bỏ mọi thứ mà anh ấy đã nói về bạn, từ một phiên riêng tư.
Dù sao đi nữa, tin tốt là các nạn nhân đã quyết định rằng họ chắc chắn sẽ không nhận lấy điều này.
Và rất nhiều người trong số họ đã trình báo với cảnh sát Phần Lan, và điều đó khiến họ có động lực coi đây là một vụ án nghiêm trọng.
Và các cuộc điều tra đã được tiến hành kể từ đó.
Có ai đó... tôi tin rằng anh ta vẫn đang bị giam giữ ở Phần Lan; anh ta vẫn chưa kết thúc phiên tòa xét xử bên tống tiền.
Nhưng họ cũng quyết định, “Bạn biết gì không, Giám đốc điều hành của công ty quá tệ với dữ liệu phải chịu một số trách nhiệm cá nhân.”
Anh ấy không thể chỉ nói: “Ồ, đó là công ty; chúng tôi sẽ trả tiền phạt” (họ đã làm như vậy và cuối cùng bị phá sản).
Điều đó vẫn chưa đủ - anh ấy được cho là ông chủ của công ty này; anh ta phải thiết lập các tiêu chuẩn và xác định cách chúng vận hành.
Vì vậy, anh ấy đã đi đến thử nghiệm là tốt.
Và anh ta vừa bị kết tội và bị kết án ba tháng tù, mặc dù là án treo.
Vì vậy, nếu anh ta giữ cho mũi của mình trong sạch, anh ta có thể ở ngoài tù… nhưng anh ta đã bị bắt vì tội này trước tòa và bị kết án hình sự.
Câu nói có thể nhẹ nhàng như vậy, điều đó nghe có vẻ là một khởi đầu tốt, phải không?
CHÓ. Rất nhiều bình luận về bài đăng này nói rằng họ nên buộc anh ta phải ngồi tù; anh ta thực sự nên dành thời gian trong tù.
Nhưng một trong những người bình luận, tôi nghĩ đúng, chỉ ra rằng điều này là phổ biến đối với những người lần đầu phạm tội phi bạo lực…
…và anh ta hiện có tiền án, vì vậy anh ta có thể sẽ không bao giờ làm việc ở thị trấn này nữa.
VỊT. Vâng, và có lẽ quan trọng hơn, nó sẽ khiến bất kỳ ai phải tạm dừng trước khi cho phép anh ta có quyền đưa ra loại quyết định tồi tệ này trong tương lai.
Bởi vì có vẻ như không phải anh ấy đã cho phép nhóm CNTT của mình làm những công việc tồi tệ hoặc đi tắt đón đầu.
Có vẻ như họ đã biết rằng họ đã bị vi phạm hai lần, tôi nghĩ là vào năm 2018 và 2019, và quyết định, “Chà, nếu chúng tôi không nói gì, chúng tôi sẽ bỏ qua”.
Và sau đó vào năm 2020, rõ ràng là một kẻ lừa đảo đã nắm giữ dữ liệu và lạm dụng nó theo cách mà bạn thực sự không thể nghi ngờ về nguồn gốc của nó.
Nó không chỉ là, “Ồ, tôi tự hỏi họ lấy địa chỉ email và số chứng minh nhân dân của tôi ở đâu?”
Bạn chỉ có thể nhận được bảng điểm trị liệu tâm lý riêng của Phòng khám X từ Phòng khám X, bạn mong đợi!
CHÓ. Vâng.
VỊT. Vì vậy, cũng có khía cạnh nếu họ trở nên trong sạch vào năm 2018; nếu họ tiết lộ vi phạm như họ phải làm, thì…
(A) Họ sẽ làm điều đúng đắn theo luật.
(B) Họ sẽ làm điều đúng đắn bởi bệnh nhân của họ, những người có thể đã bắt đầu thực hiện các biện pháp phòng ngừa trước.
Và (C), họ sẽ có chút hối hận khi đi sửa các lỗ hổng thay vì nói: “Ồ, chúng ta hãy giữ im lặng về điều đó, bởi vì nếu chúng ta nói rằng chúng ta không biết, thì chúng ta không cần phải làm bất cứ điều gì và chúng tôi chỉ có thể tiếp tục theo cách tồi tàn mà chúng tôi đã có.
Nó chắc chắn không được coi là một sai lầm vô tội.
Và do đó, khi nói đến tội phạm mạng và vi phạm dữ liệu, có thể đồng thời vừa là nạn nhân vừa là thủ phạm.
CHÓ. Một điểm tốt cũng đặt!
Tiếp tục nào.
Trở lại vào tháng 2023 năm XNUMX, chúng tôi đã nói về ứng dụng 2FA lừa đảo trong các cửa hàng ứng dụng và đôi khi chúng chỉ nán lại như thế nào.
Và nán lại họ có.
Paul, bạn sẽ trình diễn trực tiếp cách thức hoạt động của một trong những ứng dụng phổ biến này, để mọi người có thể thấy… và nó vẫn ở đó, phải không?
Cẩn thận với các ứng dụng 2FA lừa đảo trong App Store và Google Play – đừng để bị hack!
VỊT. Nó là.
Thật không may, podcast sẽ ra mắt ngay sau khi bản demo hoàn thành, nhưng đây là một số nghiên cứu được thực hiện bởi một cặp nhà phát triển độc lập của Apple, Tommy Mysk và Talal Haj Bakry.
Trên Twitter, bạn có thể tìm thấy chúng dưới dạng @mysk_co.
Họ thường xuyên xem xét các nội dung về an ninh mạng để có thể nhận được an ninh mạng ngay trong quá trình viết mã chuyên môn của mình.
Họ là những lập trình viên theo trái tim của tôi, bởi vì họ không chỉ làm đủ để hoàn thành công việc, họ còn làm nhiều hơn đủ để hoàn thành tốt công việc.
Và đây là khoảng thời gian, nếu bạn còn nhớ, rằng Twitter đã nói, “Này, chúng tôi sẽ ngừng xác thực hai yếu tố dựa trên SMS. Do đó, nếu bạn đang dựa vào điều đó, bạn sẽ cần phải tải ứng dụng 2FA. Chúng tôi sẽ để bạn tìm một cái; có rất nhiều.”
Twitter nói với người dùng: Hãy trả tiền nếu bạn muốn tiếp tục sử dụng 2FA không an toàn
Bây giờ, nếu bạn vừa truy cập App Store hoặc Google Play và nhập Authenticator App
, bạn có rất nhiều lượt truy cập, làm sao bạn biết nên chọn bản nào?
Và trên cả hai cửa hàng, tôi tin rằng, những cửa hàng hàng đầu hóa ra lại là những cửa hàng bất hảo.
Trong trường hợp ứng dụng tìm kiếm hàng đầu (ít nhất là trên Apple Store và một số ứng dụng hàng đầu trên Google Play), hóa ra các nhà phát triển ứng dụng đã quyết định rằng, để giám sát ứng dụng của họ, họ sẽ sử dụng Google Analytics để ghi lại cách mọi người sử dụng ứng dụng – từ xa, như tên gọi của nó.
Rất nhiều ứng dụng làm điều này.
Nhưng những nhà phát triển này hoặc là độc hại một cách lén lút, hoặc thiếu hiểu biết hoặc bất cẩn đến mức trong số những thứ họ thu thập được về cách ứng dụng hoạt động, họ cũng lấy một bản sao của hạt xác thực hai yếu tố được sử dụng để tạo tất cả các mã cho điều đó tài khoản!
Về cơ bản, họ có chìa khóa cho lâu đài 2FA của mọi người… tất cả, rõ ràng là vô tội, thông qua phân tích chương trình.
Nhưng nó đã ở đó.
Họ đang thu thập dữ liệu tuyệt đối không được rời khỏi điện thoại.
Chìa khóa chính cho mọi mã gồm sáu chữ số xuất hiện cứ sau 30 giây, mãi mãi, cho mọi tài khoản trên điện thoại của bạn.
Còn chuyện đó thì sao, Doug?
CHÓ. Nghe có vẻ tồi.
Vâng, chúng tôi sẽ mong được trình bày.
Chúng tôi sẽ khai thác đoạn ghi âm và cung cấp cho mọi người trên podcast của tuần tới… Tôi rất phấn khích!
Được rồi, chuyển sang chủ đề cuối cùng của chúng ta, chúng ta đang nói về vắt nước trái cây.
Đã lâu rồi… khoảng hơn mười năm kể từ lần đầu tiên chúng ta nghe thấy thuật ngữ này.
Và tôi phải thừa nhận, Paul, khi tôi bắt đầu đọc điều này, tôi bắt đầu đảo mắt, rồi dừng lại, bởi vì, “Tại sao FBI và FCC lại đưa ra cảnh báo về việc khai thác nước trái cây? Đây phải là một cái gì đó lớn.
Nhưng lời khuyên của họ không có nhiều ý nghĩa.
Hẳn là có chuyện gì đó đang xảy ra, nhưng đồng thời có vẻ cũng không phải là vấn đề lớn lắm.
FBI và FCC cảnh báo về “Juicejacking” – nhưng lời khuyên của họ hữu ích đến mức nào?
VỊT. Tôi nghĩ rằng tôi đồng ý với điều đó, Doug, và đó là lý do tại sao tôi có ý định viết ra điều này.
FCC… đối với những người không ở Hoa Kỳ, đó là Ủy ban Truyền thông Liên bang, vì vậy khi nói đến những thứ như mạng di động, bạn sẽ nghĩ rằng họ biết rõ về họ.
Và FBI, tất nhiên, về cơ bản là cảnh sát liên bang.
Vì vậy, như bạn nói, điều này đã trở thành một câu chuyện lớn.
Nó có lực kéo trên toàn thế giới.
Nó chắc chắn đã được lặp đi lặp lại trên nhiều phương tiện truyền thông ở Anh: [DRAMATIC VOICE] “Hãy coi chừng các trạm sạc ở sân bay.”
Như bạn nói, nó có vẻ giống như một chút bùng nổ từ quá khứ.
Tôi không biết tại sao nó lại là một “mối nguy hiểm lớn ở cấp độ người tiêu dùng” rõ ràng và hiện tại ngay bây giờ.
Tôi nghĩ rằng đó là một thuật ngữ được đặt ra vào năm 2011 để mô tả ý tưởng rằng một trạm sạc giả mạo có thể không cung cấp điện.
Nó có thể có một máy tính ẩn ở đầu kia của cáp hoặc ở phía bên kia của ổ cắm, đã cố gắn điện thoại của bạn dưới dạng một thiết bị (ví dụ: dưới dạng thiết bị đa phương tiện) và lấy các tệp ra khỏi điện thoại mà bạn không nhận ra , tất cả đều dưới chiêu bài chỉ cung cấp cho bạn 5 volt DC.
Và có vẻ như đây chỉ là một lời cảnh báo, bởi vì đôi khi việc lặp lại những lời cảnh báo cũ là có lợi.
Các thử nghiệm của riêng tôi cho thấy rằng biện pháp giảm thiểu vẫn hoạt động mà Apple đã áp dụng ngay từ năm 2011, khi công nghệ ép trái cây lần đầu tiên được trình diễn tại hội nghị Black Hat 2011.
Khi bạn cắm thiết bị lần đầu tiên, bạn sẽ được cung cấp lựa chọn Trust/Don't Trust
.
Vì vậy, có hai điều ở đây.
Đầu tiên, bạn phải can thiệp.
Và thứ hai, nếu điện thoại của bạn bị khóa, ai đó không thể truy cập Trust/Don't Trust
nút một cách bí mật bằng cách vươn tới và nhấn vào nút cho bạn.
Trên Android, tôi tìm thấy một cái gì đó tương tự.
Khi bạn cắm thiết bị vào, thiết bị sẽ bắt đầu sạc, nhưng bạn phải vào menu Cài đặt, nhập phần kết nối USB và chuyển từ chế độ Không có dữ liệu sang chế độ “chia sẻ ảnh của tôi” hoặc “chia sẻ tất cả tệp của tôi”.
Có một cảnh báo nhỏ dành cho người dùng iPhone khi bạn cắm nó vào máy Mac.
Nếu bạn đánh Trust
do nhầm lẫn, bạn gặp phải vấn đề là trong tương lai, khi bạn cắm nó vào, ngay cả khi điện thoại bị khóa, máy Mac của bạn sẽ tương tác với điện thoại sau lưng bạn, vì vậy máy không yêu cầu bạn phải mở khóa điện thoại.
Và mặt trái của điều đó, mà tôi nghĩ người nghe nên lưu ý, là trên iPhone và tôi coi đây là một lỗi (những người khác có thể chỉ nói, “Ồ không, đó là một ý kiến. Đó là chủ quan. Lỗi chỉ có thể là lỗi khách quan ”)…
…không có cách nào để xem lại danh sách các thiết bị mà bạn đã tin tưởng trước đây và xóa từng thiết bị khỏi danh sách.
Bằng cách nào đó, Apple mong bạn nhớ tất cả các thiết bị mà bạn đã tin tưởng và nếu bạn muốn không tin tưởng *một* trong số chúng, bạn phải truy cập và đặt lại về cơ bản cài đặt quyền riêng tư trên điện thoại của mình và không tin tưởng *tất cả* chúng.
Ngoài ra, tùy chọn đó đã bị chôn vùi, Doug, và tôi sẽ đọc nó ở đây vì có thể bạn sẽ không tự mình tìm thấy nó. [CƯỜI]
Nó ở dưới Cài đặt > Tổng Quát > Chuyển hoặc Đặt lại iPhone > Đặt lại vị trí và quyền riêng tư.
Và tiêu đề nói "Chuẩn bị cho iPhone mới".
Vì vậy, ngụ ý là bạn sẽ chỉ cần sử dụng tính năng này khi bạn chuyển từ iPhone này sang iPhone khác.
Nhưng có vẻ như, thực sự, như bạn đã nói lúc đầu, Doug, với juicejacking, rằng có khả năng ai đó có lỗi zero-day nghĩa là việc cắm vào một máy tính không đáng tin cậy hoặc không xác định có thể khiến bạn gặp rủi ro.
CHÓ. Tôi đang cố tưởng tượng xem việc chiếm đoạt một trong những chiếc máy này sẽ đòi hỏi những gì.
Đây là chiếc máy to bằng thùng rác; bạn sẽ phải đột nhập vào nhà ở.
Đây không giống như một cái máy rút tiền ATM nơi bạn có thể nhét thứ gì đó vào.
Tôi không biết điều gì đang xảy ra ở đây khi chúng tôi nhận được cảnh báo này, nhưng có vẻ như sẽ rất khó để thực sự khiến một thứ như thế này hoạt động.
Tuy nhiên, điều đó đang được nói, chúng tôi có một số lời khuyên: Tránh các đầu nối hoặc cáp sạc không rõ nguồn gốc nếu có thể.
Nó là cái tốt.
VỊT. Ngay cả một trạm sạc được thiết lập hoàn toàn tốt cũng có thể không có khả năng điều chỉnh điện áp phù hợp mà bạn mong muốn.
Và, như một mặt trái của điều đó, tôi khuyên rằng nếu bạn đang đi trên đường và nhận ra, “Ồ, tôi đột nhiên cần một bộ sạc, tôi không có bộ sạc riêng bên mình”, hãy hết sức cảnh giác với pound- bộ sạc siêu rẻ của shop hoặc dollar-shop.
Nếu bạn muốn biết tại sao, hãy truy cập YouTube và tìm kiếm một người tên là Big Clive.
Anh ấy mua những thiết bị điện tử rẻ tiền như thế này, tháo rời chúng ra, phân tích mạch điện và quay video.
Anh ấy có một video tuyệt vời về một sạc nhái Apple...
…[hàng giả] trông giống như bộ sạc USB của Apple, mà anh ấy đã mua với giá £1 tại một cửa hàng đồng bảng Anh ở Scotland.
Và khi anh ấy tháo nó ra, hãy chuẩn bị tinh thần để bị sốc.
Anh ấy cũng in ra sơ đồ mạch của nhà sản xuất, và anh ấy thực sự xem xét kỹ lưỡng với một chiếc bút sắc nét và đặt nó dưới máy ảnh của mình.
“Có một điện trở cầu chì; họ không bao gồm điều đó; họ đã bỏ phần đó [gạch bỏ phần còn thiếu].”
“Đây là mạch bảo vệ; họ đã loại bỏ tất cả những thành phần đó [gạch bỏ thêm].”
Và cuối cùng anh ta giảm xuống còn khoảng một nửa số thành phần mà nhà sản xuất tuyên bố là có trong thiết bị.
Có một điểm mà có một khoảng cách giữa điện áp nguồn (ở Anh sẽ là 230 volt AC ở 50 Hz) và một dấu vết trên bảng mạch sẽ ở điện áp phân phối (đối với USB là 5 volt)…
…và khoảng cách đó, Doug, có lẽ là một phần nhỏ của milimét.
Làm thế nào về điều đó?
Vì vậy, vâng, tránh các trình kết nối không xác định.
CHÓ. Lời khuyên tuyệt vời.
VỊT. Mang theo kết nối của riêng bạn!
CHÓ. Đây là một cách tốt, đặc biệt nếu bạn đang chạy và bạn cần sạc nhanh, ngoài những tác động về bảo mật: Khóa hoặc tắt điện thoại trước khi kết nối với bộ sạc hoặc máy tính.
Nếu bạn tắt điện thoại, điện thoại sẽ sạc nhanh hơn nhiều, vì vậy đó là điều cần làm!
VỊT. Nó cũng đảm bảo rằng nếu điện thoại của bạn bị đánh cắp… điều mà bạn có thể tranh luận là có nhiều khả năng xảy ra hơn một chút tại một trong những trạm sạc nhiều người dùng này, phải không?
CHÓ. Có!
VỊT. Điều đó cũng có nghĩa là nếu bạn cắm nó vào và Trust
lời nhắc bật lên, nó không chỉ ngồi đó để người khác tiếp tục, “Ha, trông thú vị đấy,” và nhấp vào nút mà bạn không mong đợi.
CHÓ. Được rồi, và sau đó chúng tôi đã có: Cân nhắc việc không tin cậy tất cả các thiết bị trên iPhone của bạn trước khi mạo hiểm với máy tính hoặc bộ sạc không xác định.
Đó là cài đặt bạn vừa xem qua trước đó bên dưới Cài đặt > Tổng Quát > Chuyển hoặc Đặt lại iPhone...
VỊT. Bước *xuống* vào; xuống vực sâu tăm tối. [CƯỜI]
Bạn không *cần* làm điều đó (và điều đó hơi phiền phức), nhưng điều đó có nghĩa là bạn không có nguy cơ mắc phải lỗi tin cậy phức tạp mà bạn có thể đã mắc phải trước đây.
Một số người có thể cho rằng điều đó là quá mức cần thiết, nhưng đó không phải là "Bạn phải làm điều này", mà chỉ là một ý tưởng hay vì giúp bạn quay trở lại vị trí ban đầu.
CHÓ. Và cuối cùng nhưng không kém phần quan trọng: Cân nhắc mua cáp USB hoặc ổ cắm bộ điều hợp chỉ cấp nguồn.
Cái đó có sẵn và họ chỉ tính phí, họ không truyền dữ liệu.
VỊT. Có, tôi không chắc liệu cáp như vậy có sẵn ở định dạng USB-C hay không, nhưng thật dễ dàng để lấy chúng ở USB-A.
Bạn thực sự có thể nhìn vào ổ cắm và nếu nó thiếu hai đầu nối ở giữa… Tôi đã đăng một bức ảnh trong bài viết về Naked Security về đèn xe đạp mà tôi có chỉ có các đầu nối bên ngoài.
Nếu bạn chỉ có thể nhìn thấy các đầu nối nguồn thì không có cách nào để truyền dữ liệu.
CHÓ. Được rồi, rất tốt.
Và hãy cho chúng tôi nghe ý kiến từ một trong những độc giả của chúng tôi… một điều gì đó có ý nghĩa đối lập với tác phẩm khai thác nước trái cây.
Naked Security Reader NotConcerned viết, một phần:
Bài báo này đi ra một chút ngây thơ. Tất nhiên, juicejacking không phải là một vấn đề phổ biến, nhưng bỏ qua bất kỳ cảnh báo nào dựa trên một thử nghiệm rất cơ bản là kết nối điện thoại với PC Windows và Mac và nhận được lời nhắc là điều ngớ ngẩn. Điều đó không chứng minh rằng không có phương pháp nào không cần nhấp hoặc nhấn.
Bạn nói gì, Paul?
VỊT. [SLIGHT SLIGHT] Tôi hiểu rồi.
Có thể có 0 ngày, nghĩa là khi bạn cắm nó vào trạm sạc, có thể có một cách nào đó để một số kiểu điện thoại, một số phiên bản hệ điều hành, một số cấu hình… mà bằng cách nào đó nó có thể bỏ qua một cách kỳ diệu Trust
nhắc hoặc tự động đặt Android của bạn ở chế độ PTP hoặc chế độ Truyền tệp thay vì chế độ Không có dữ liệu.
Nó không phải là không thể.
Nhưng nếu bạn định đưa những ngày không hoạt động trị giá hàng triệu đô la vào danh sách những thứ mà các tổ chức như FCC và FBI đưa ra cảnh báo chung chung, thì họ nên cảnh báo ngày này qua ngày khác: “Đừng sử dụng điện thoại của bạn; không sử dụng trình duyệt của bạn; không sử dụng máy tính xách tay của bạn; không sử dụng Wi-Fi của bạn; không nhấn bất cứ điều gì cả, theo ý kiến của tôi.
Vì vậy, tôi nghĩ điều khiến tôi lo lắng về cảnh báo này không phải là bạn nên phớt lờ nó.
(Tôi nghĩ rằng chi tiết mà chúng tôi đưa vào bài viết và các mẹo mà chúng tôi vừa trải qua cho thấy rằng chúng tôi thực sự coi trọng nó hơn mức đủ – chúng tôi có một số lời khuyên hữu ích trong đó mà bạn có thể làm theo nếu muốn.)
Điều khiến tôi lo lắng về loại cảnh báo này là nó được trình bày như một mối nguy hiểm rõ ràng và hiện hữu, và được chọn trên khắp thế giới để nó ám chỉ mọi người rằng, “Ồ, điều đó có nghĩa là khi tôi trên đường, tất cả những gì tôi cần làm là không cắm điện thoại vào những nơi buồn cười và tôi sẽ ổn thôi.”
Trong khi đó, trên thực tế, có thể có 99 thứ khác sẽ mang lại cho bạn sự an toàn và bảo mật hơn rất nhiều nếu bạn làm những thứ đó.
Và bạn có thể không gặp rủi ro đáng kể, nếu bạn thiếu nước trái cây và bạn thực sự * cần * sạc lại điện thoại của mình vì bạn nghĩ, "Điều gì sẽ xảy ra nếu tôi không thể thực hiện cuộc gọi khẩn cấp?"
CHÓ. Được rồi, xuất sắc.
Vâng, cảm ơn bạn, NotConcerned, vì đã viết điều đó vào.
VỊT. [DEADPAN] Tôi cho rằng cái tên đó là một sự mỉa mai?
CHÓ. [CƯỜI] Tôi nghĩ vậy.
Nếu bạn có một câu chuyện, nhận xét hoặc câu hỏi thú vị mà bạn muốn gửi, chúng tôi rất muốn đọc nó trên podcast.
Bạn có thể gửi email tới tips@sophos.com, bạn có thể nhận xét về bất kỳ bài viết nào của chúng tôi hoặc bạn có thể đánh giá chúng tôi trên mạng xã hội: @nakedsecurity.
Đó là chương trình của chúng tôi cho ngày hôm nay; cảm ơn rất nhiều vì đã lắng nghe
Đối với Paul Ducklin, tôi là Doug Aamoth, sẽ nhắc bạn, cho đến lần sau, hãy…
CẢ HAI. Giữ an toàn!
[CHẾ ĐỘ ÂM NHẠC]
Hình ảnh nổi bật của thẻ máy tính đục lỗ của Arnold Reinhold thông qua Wikipedia Dưới CC BY-SA 2.5
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
- nguồn: https://nakedsecurity.sophos.com/2023/04/20/s3-ep131-can-you-really-have-fun-with-fortran/
- : có
- :là
- :không phải
- $ LÊN
- 000
- 1
- 100
- 2011
- 2018
- 2019
- 2020
- 2023
- 2FA
- a
- Giới thiệu
- về nó
- hoàn toàn
- AC
- Tài khoản
- chính xác
- có được
- thực sự
- địa chỉ
- thừa nhận
- tiến
- tư vấn
- Sau
- Sân bay
- Tất cả
- Cho phép
- dọc theo
- Đã
- được rồi
- Ngoài ra
- luôn luôn
- giữa
- an
- phân tích
- phân tích
- và
- Android
- Một
- bất kì
- bất cứ nơi nào
- ngoài
- ứng dụng
- ứng dụng cửa hàng
- Apple
- ứng dụng
- Tháng Tư
- LÀ
- tranh luận
- xung quanh
- bài viết
- bài viết
- AS
- khía cạnh
- giao
- giả sử
- At
- ATM
- âm thanh
- Xác thực
- tác giả
- ủy quyền
- tự động
- có sẵn
- trung bình
- trở lại
- Bad
- dữ liệu xấu
- phá sản
- dựa
- cơ bản
- Về cơ bản
- BE
- Ghi
- đã trở thành
- bởi vì
- được
- trước
- bắt đầu
- Bắt đầu
- sau
- được
- Tin
- phía dưới
- giữa
- lớn
- Một chút
- Đen
- Mũ đen
- bảng
- BOSS
- cả hai
- mua
- vi phạm
- vi phạm
- trình duyệt
- Bug
- lỗi
- nút
- Mua
- by
- cáp
- tính toán
- cuộc gọi
- gọi là
- máy ảnh
- CAN
- Có thể có được
- thẻ
- mang
- Tiếp tục
- trường hợp
- giám đốc điều hành
- chắc chắn
- phí
- sạc
- giá rẻ
- sự lựa chọn
- Chọn
- Sơ đồ mạch
- xin
- tuyên bố
- trong sáng
- phòng khám
- đám mây
- mã
- Lập trình
- đặt ra
- Thu
- COM
- Đến
- bình luận
- Bình luận
- hoa hồng
- Chung
- Truyền thông
- công ty
- thành phần
- các thành phần
- máy tính
- Khoa học Máy tính
- Hội nghị
- Kết nối
- liên quan
- Hãy xem xét
- xem xét
- liên lạc
- cuộc hội thoại
- niềm tin
- góc
- có thể
- Giả mạo
- ngược lại
- Khóa học
- Tòa án
- nứt
- Hình sự
- Current
- Lưu ký
- Cắt
- tội phạm mạng
- An ninh mạng
- NGUY HIỂM
- dữ liệu
- Vi phạm dữ liệu
- ngày
- dc
- nhiều
- quyết định
- quyết định
- sâu nhất
- Mặc định
- chắc chắn
- giao hàng
- chứng minh
- mô tả
- chi tiết
- chi tiết
- Xác định
- phát triển
- thiết bị
- Thiết bị (Devices)
- ĐÃ LÀM
- ĐÀO
- Giảm giá
- mất lòng tin
- Không
- làm
- đô la
- dont
- DOT
- nghi ngờ
- xuống
- đáng kể
- Rơi
- đổ
- Sớm hơn
- hay
- điện tử
- trường hợp khẩn cấp
- đủ
- đảm bảo
- đăng ký hạng mục thi
- phương trình
- lôi
- đặc biệt
- chủ yếu
- Ngay cả
- cuối cùng
- BAO GIỜ
- Mỗi
- mọi người
- tất cả mọi thứ
- chính xác
- ví dụ
- tuyệt vời
- mong đợi
- kỳ vọng
- tống tiền
- Mắt
- đức tin
- tuyệt vời
- hấp dẫn
- nhanh hơn
- fbi
- FCC
- nỗi sợ hãi
- Tháng Hai
- Liên bang
- Ủy ban Truyền thông liên bang
- cảnh sát liên bang
- đồng bào
- hình
- Tập tin
- Các tập tin
- cuối cùng
- tài chính
- Tìm kiếm
- Phần Lan
- Tên
- lần đầu tiên
- phù hợp với
- Sửa chữa
- Lật
- theo
- Trong
- Buộc
- mãi mãi
- định dạng
- Forward
- tìm thấy
- phân số
- từ
- vui vẻ
- buồn cười
- tương lai
- khoảng cách
- tạo ra
- được
- nhận được
- Cho
- được
- Go
- Đi
- đi
- tốt
- Google Analytics
- Google play
- tuyệt vời
- tội
- Một nửa
- đã xảy ra
- Cứng
- mũ
- Có
- he
- Nhóm
- Nghe
- nghe
- Trái Tim
- tại đây
- Thành viên ẩn danh
- Đánh
- Số lượt truy cập
- tổ chức
- Holes
- GIỜ LÀM VIỆC
- nhà ở
- Độ đáng tin của
- HTTPS
- i
- TÔI SẼ
- ID
- ý tưởng
- Bản sắc
- hình ảnh
- hình ảnh
- hàm ý
- không thể
- in
- Nghiêng
- bao gồm
- Bao gồm
- độc lập
- hệ thống riêng biệt,
- thay vì
- tương tác
- thú vị
- can thiệp
- trong
- Điều tra
- tham gia
- iPhone
- ban hành
- IT
- ITS
- tù
- Việc làm
- jpg
- Giữ
- Key
- phím
- Loại
- Biết
- máy tính xách tay
- Họ
- phóng
- Luật
- Rời bỏ
- trách nhiệm
- ánh sáng
- Lượt thích
- Có khả năng
- Dòng
- Danh sách
- Listening
- ít
- sống
- tải
- địa điểm thư viện nào
- khóa
- dài
- Xem
- tìm kiếm
- NHÌN
- Rất nhiều
- yêu
- mac
- máy
- Máy móc
- thực hiện
- làm cho
- LÀM CHO
- Làm
- nhà chế tạo
- nhiều
- lớn
- chủ
- Có thể..
- có nghĩa là
- có nghĩa
- Phương tiện truyền thông
- Phương tiện truyền thông
- đề cập
- Menu
- chỉ đơn thuần là
- phương pháp
- Tên đệm
- Might
- triệu
- tâm
- có đầu óc
- mất tích
- sai lầm
- giảm nhẹ
- di động
- mạng di động
- Chế độ
- mô hình
- tiền
- Màn Hình
- tháng
- chi tiết
- mẹ
- Gắn kết
- di chuyển
- di chuyển
- Âm nhạc
- âm nhạc
- An ninh trần trụi
- Podcast bảo mật khỏa thân
- tên
- quốc dân
- Cần
- cần thiết
- mạng
- Mới
- tin tức
- tiếp theo
- mũi
- Chú ý
- tại
- con số
- số
- Mục tiêu
- dịp
- of
- cung cấp
- Xưa
- on
- ONE
- đang diễn ra
- Trực tuyến
- có thể
- hoạt động
- hoạt động
- hệ điều hành
- Ý kiến
- Tùy chọn
- or
- gọi món
- Tổ chức
- Nền tảng khác
- Khác
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- Cửa hàng
- kết thúc
- riêng
- thanh toán
- Đau
- một phần
- Mật khẩu
- qua
- bệnh nhân
- bệnh nhân
- paul
- Trả
- nước
- PC
- lê
- người
- có lẽ
- người
- riêng
- điện thoại
- điện thoại
- đã chọn
- hình ảnh
- mảnh
- thuế TNCN
- Nơi
- Nơi
- kế hoạch
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Play
- máy nghe nhạc
- cắm
- Podcast
- Podcasts
- Điểm
- điểm
- Công an
- người nghèo
- bật
- Phổ biến
- khả năng
- có thể
- Bài đăng
- bài viết
- quyền lực
- chuẩn bị
- trình bày
- trình bày
- trình bày
- nhấn
- trước
- In
- in
- nhà tù
- riêng tư
- riêng
- có lẽ
- thăm dò
- Vấn đề
- Sản xuất
- chương trình
- Lập trình viên
- Lập trình
- bảo vệ
- Chứng minh
- cho
- cung cấp
- công khai
- đặt
- Puts
- câu hỏi
- Mau
- đạt
- Đọc
- Người đọc
- Reading
- nhận ra
- có thật không
- ghi
- ghi lại
- ghi âm
- thường xuyên
- Quy định
- nhớ
- lặp lại
- lặp đi lặp lại
- báo cáo
- yêu cầu
- nghiên cứu
- xem xét
- Nguy cơ
- mạo hiểm
- đường
- Lăn
- tròn
- rss
- chạy
- Sự An Toàn
- An toàn và an ninh
- Nói
- tương tự
- nói
- Khoa học
- Tìm kiếm
- Thứ hai
- giây
- Phần
- an ninh
- hạt giống
- dường như
- ý nghĩa
- kết án
- nghiêm trọng
- Phiên
- phiên
- định
- thiết lập
- thiết lập
- sốc
- ngắn
- nên
- hiển thị
- bên
- có ý nghĩa
- tương tự
- đơn giản hóa
- kể từ khi
- Sir
- Ngồi
- Kích thước máy
- nhỏ
- So
- Mạng xã hội
- một số
- Một người nào đó
- một cái gì đó
- một nơi nào đó
- Con trai
- âm thanh
- Soundcloud
- Không gian
- không gian
- chuyên gia
- thông số kỹ thuật
- ĐÁNH VẦN
- tiêu
- Spotify
- vuông
- tiêu chuẩn
- Bắt đầu
- bắt đầu
- bắt đầu
- Bang
- trạm
- Trạm
- ở lại
- Vẫn còn
- dừng lại
- hàng
- cửa hàng
- Những câu chuyện
- Câu chuyện
- Học tập
- trình
- thành công
- như vậy
- phải
- đình chỉ
- Công tắc điện
- hệ thống
- Hãy
- mất
- dùng
- nói
- Vòi nước
- Mục tiêu
- Nhiệm vụ
- nhóm
- nói
- 10
- thử nghiệm
- kiểm tra
- hơn
- Cảm ơn
- việc này
- Sản phẩm
- luật
- Anh
- thế giới
- cung cấp their dịch
- Them
- tự
- vì thế
- Kia là
- điều
- điều
- Thứ ba
- điều này
- nghĩ
- số ba
- Thông qua
- thời gian
- lời khuyên
- đến
- bây giờ
- hàng đầu
- chủ đề
- Dấu vết
- lực kéo
- Bảng điểm
- chuyển
- chuyển
- điều trị
- thử nghiệm
- đúng
- NIỀM TIN
- đáng tin cậy
- XOAY
- Quay
- Uk
- Cuối cùng
- Dưới
- Kỳ
- Hoa Kỳ
- trường đại học
- mở khóa
- tải lên
- đô thị
- URL
- us
- Đô la Mỹ
- usb
- sử dụng
- đã sử dụng
- Người sử dụng
- giá trị
- thông qua
- nạn nhân
- nạn nhân
- Video
- Giọng nói
- điện áp
- đi bộ
- cảnh báo
- là
- Đường..
- we
- tuần
- TỐT
- là
- Điều gì
- liệu
- cái nào
- CHÚNG TÔI LÀ
- toàn bộ
- Wi-fi
- phổ biến rộng rãi
- Wikipedia
- sẽ
- cửa sổ
- với
- không có
- từ
- Công việc
- công trinh
- thế giới
- sẽ
- sẽ cho
- viết
- viết
- X
- năm
- Bạn
- trên màn hình
- mình
- youtube
- zephyrnet
- không