Car-tech

Lỗ hổng bảo mật iPhone: Tách sự thật khỏi hư cấu

Rác thải, cá chết nổi dày đặc vịnh Cát BÃ

Rác thải, cá chết nổi dày đặc vịnh Cát BÃ

Mục lục:

Anonim

Với tất cả các tin tức về việc bẻ khóa iPhone trong những ngày gần đây, sự an toàn của điện thoại thông minh phổ biến của Apple đã được đưa vào câu hỏi. Nhưng, với sự cường điệu đánh quá tải và dọa người chăn ở khắp mọi nơi, làm thế nào để bạn biết những gì để tin? Hãy kiểm tra nguồn gốc của những câu chuyện về lỗ hổng bảo mật iPhone mới nhất, và xem xét chúng một cách chi tiết để tìm hiểu xem bạn phải lo lắng thế nào.

Nhận ra khỏi tù

[Đọc thêm: Điện thoại Android tốt nhất cho mọi ngân sách. Các báo cáo về lỗi bảo mật của iPhone không có gì mới mẻ, nhưng các báo cáo mới nhất đã bắt đầu vào đầu tuần này với việc phát hành Jailbreakme 2.0, một công cụ mới cho phép bạn bẻ khóa iPhone mà không cần kết nối nó với máy tính của bạn., đó là quá trình giải phóng iPhone của bạn khỏi các hạn chế phần mềm của Apple và có khả năng từ mạng của AT & T, đã được Cơ quan Bản quyền Hoa Kỳ cai trị vào tuần trước. Một chiếc iPhone đã bẻ khóa có thể chạy các ứng dụng chưa được Apple phê duyệt, giúp người dùng kiểm soát nhiều hơn những gì họ làm với điện thoại thông minh của họ. Nhưng một khi iPhone bị bẻ khóa, nó cũng có thể kém ổn định hơn, và bằng cách bẻ khóa thiết bị, bạn sẽ mất hiệu lực mọi bảo hành mà bạn có thể có.

Việc bẻ khóa iPhone có thể gây ra một số rủi ro cho thiết bị của bạn., trên iPhone cũ hơn và bị bỏ lại với một thiết bị đã bị bricked: nó không thể thực hiện hoặc nhận cuộc gọi. May mắn thay, tôi đã dễ dàng sửa chữa iPhone của mình bằng cách khôi phục lại cài đặt gốc thông qua iTunes. Nhưng tôi đã không thử jailbreak một lần nữa.

Trong khi các báo cáo mới nhất về lỗi bảo mật với iPhone đã tập trung xung quanh công cụ jailbreak mới, bản thân các lỗ hổng bảo mật thực sự không có điện thoại đã bị bẻ khóa. Thay vào đó, đó là cách mà Jailbreakme 2.0 thực hiện jailbreak đã nêu bật các vấn đề bảo mật tiềm năng với iPhone.

Trước đây, việc jailbreak iPhone của bạn yêu cầu kết nối nó với máy tính của bạn và chuyển phần mềm cần thiết sang điện thoại từ máy Mac hoặc PC. Nhưng Jailbreakme 2.0 chỉ đơn giản yêu cầu bạn sử dụng trình duyệt Safari của iPhone để truy cập vào trang web của nó, từ đó nó tải xuống bản hack cần thiết để bẻ khóa thiết bị. Đồng nghiệp của tôi Daniel Ionescu đã thử nó, và đã có thể jailbreak iPod Touch của mình trong chưa đầy một phút, không cần tương tác với người dùng.

Safari to Blame

Và đó là lỗ hổng bảo mật có chuyên gia rất quan tâm: Không cần tương tác với người dùng. Như Gizmodo đã chỉ ra, sự dễ dàng mà Jailbreakme 2.0 làm nổi bật một lỗ hổng bảo mật nghiêm trọng trong trình duyệt Safari của iPhone:

"

Nó chỉ yêu cầu người dùng truy cập một địa chỉ web bằng cách sử dụng Safari. Khi thiết bị iOS của bạn cố gắng hiển thị tệp PDF, phông chữ đó gây ra điều gì đó gọi là tràn ngăn xếp, một điều kiện kỹ thuật cho phép mã ninja bí mật bên trong phông chữ có được quyền kiểm soát hoàn toàn thiết bị của bạn.

"Kết quả là, không có bất kỳ sự can thiệp của người dùng nào, chương trình đó có thể làm bất cứ điều gì nó muốn trong iPhone, iPod Touch hoặc iPad của bạn. Bất cứ điều gì bạn có thể tưởng tượng: Xóa các tập tin, truyền tải tập tin, cài đặt các chương trình chạy trên nền có thể giám sát hành động của bạn… bất cứ điều gì có thể được thực hiện. " Vấn đề nằm ở cách phiên bản Safari di động của Apple xử lý tài liệu PDF, Sophos 'Graham Cluley nói với BBC News: Trình duyệt Safari của iPhone sẽ tự động mở các tập tin PDF, vì vậy một hacker có thể nhúng mã độc vào một tài liệu như vậy.

(Thật trớ trêu, BBC lưu ý rằng cách duy nhất để ngăn iPhone của bạn tự động mở các tệp PDF là bẻ khóa điện thoại và cài đặt một ứng dụng có tên PDF Loading Warner, sau đó sẽ yêu cầu sự cho phép của bạn bất cứ khi nào iPhone cố gắng mở một tệp PDF.)

Sophos 'Cluley lưu ý rằng lỗ hổng bảo mật này, trong khi nghiêm trọng, chỉ tồn tại trên giấy vào thời điểm này, và đã không được nhìn thấy trong tự nhiên. Một đại diện của Apple nói với CNet rằng Apple "biết về các báo cáo và đang điều tra" lỗ hổng.

Bạn có nên lo lắng không?

Nhiều báo cáo xung quanh lỗ hổng bảo mật này đã làm cho nó giống như những thứ sẵn sàng để bẻ khóa iPhone của họ cần phải lo lắng. Nhưng đó rõ ràng không phải là trường hợp: lỗ hổng này có thể ảnh hưởng đến bất cứ ai sử dụng trình duyệt Safari của iPhone.

Nó vẫn chưa được khai thác, nhưng chúng ta đều biết có rất nhiều tin tặc ngoài kia, những người muốn trở thành người đầu tiên thỏa hiệp IPhone của Apple. Vì vậy, ngay bây giờ, tôi không lo lắng khủng khiếp về sự an toàn của iPhone của tôi. Nhưng tôi chắc chắn muốn thấy một sửa chữa từ Apple … và sớm.

Yahoo, trong một tuyên bố, cho biết họ đã rất thất vọng khi Google thoát khỏi thỏa thuận. "Yahoo tiếp tục tin tưởng vào lợi ích của thỏa thuận và thất vọng rằng Google đã quyết định rút khỏi thỏa thuận thay vì bảo vệ nó trước tòa", công ty cho biết. "Google đã thông báo cho Yahoo về việc từ chối tiến tới việc thực hiện thỏa thuận sau khi Bộ Tư pháp cho biết sẽ ngăn chặn nó, bất chấp những sửa đổi đề xuất của Yahoo nhằm giải quyết mối quan tâm của DOJ".

Yahoo, trong một tuyên bố, cho biết họ đã rất thất vọng khi Google thoát khỏi thỏa thuận. "Yahoo tiếp tục tin tưởng vào lợi ích của thỏa thuận và thất vọng rằng Google đã quyết định rút khỏi thỏa thuận thay vì bảo vệ nó trước tòa", công ty cho biết. "Google đã thông báo cho Yahoo về việc từ chối tiến tới việc thực hiện thỏa thuận sau khi Bộ Tư pháp cho biết sẽ ngăn chặn nó, bất chấp những sửa đổi đề xuất của Yahoo nhằm giải quyết mối quan tâm của DOJ".

Sự tranh cãi về quảng cáo được đề xuất "Sau bốn tháng xem xét, bao gồm các cuộc thảo luận về những thay đổi khác nhau trong thỏa thuận, rõ ràng là các nhà quản lý của chính phủ và một số nhà quảng cáo tiếp tục có những quan ngại về thỏa thuận", David Drummond , Phó chủ tịch cao cấp của Google và là giám đốc pháp lý của Google đã viết trên blog chính sách công cộng của Google. "Việc thúc đẩy quá trình này không chỉ gây ra một cuộc chiến pháp lý kéo dài mà còn gây thiệt hại cho các mối quan hệ với

Microsoft Bao gồm các vấn đề cơ bản với phần mềm bảo mật mới. Phần mềm bảo mật mới của Microsoft loại bỏ các chuông và còi cồng kềnh được tìm thấy trong các sản phẩm khác. phần mềm chống vi-rút, Microsoft Security Essentials (MSE). Như tên gọi của nó, phần mềm bảo mật mới của Microsoft loại bỏ các chuông và còi cồng kềnh được tìm thấy trong các sản phẩm khác, như Windows Live OneCare đã ngừng hoạt động của Microsoft và chỉ cung cấp sự bảo vệ cần thiết. có thể là tất cả những gì cần thiết. Window

Microsoft Bao gồm các vấn đề cơ bản với phần mềm bảo mật mới. Phần mềm bảo mật mới của Microsoft loại bỏ các chuông và còi cồng kềnh được tìm thấy trong các sản phẩm khác. phần mềm chống vi-rút, Microsoft Security Essentials (MSE). Như tên gọi của nó, phần mềm bảo mật mới của Microsoft loại bỏ các chuông và còi cồng kềnh được tìm thấy trong các sản phẩm khác, như Windows Live OneCare đã ngừng hoạt động của Microsoft và chỉ cung cấp sự bảo vệ cần thiết. có thể là tất cả những gì cần thiết. Window

Các nhà cung cấp bảo mật bên thứ ba đã xếp hàng để xen kẽ MSE là không đủ và slam Microsoft để ném trọng lượng độc quyền của nó xung quanh. Họ không thể thực sự có cả hai cách. Microsoft đã tạo ra một sản phẩm tốt và sự thống trị của nó đối với hệ điều hành PC là mối đe dọa cho ngành công nghiệp phần mềm bảo mật, hoặc MSE hút và họ không có gì phải lo lắng.

Dump Internet Explorer cho đến khi Microsoft phát hành bản vá lỗi, các chuyên gia bảo mật cảnh báo. Nếu bạn sử dụng Internet Explorer 6, 7, 8 hoặc 9 làm trình duyệt mặc định trên PC Windows, các chuyên gia bảo mật khuyên bạn nên sử dụng một trình duyệt Web khác cho đến khi Microsoft vá lỗ hổng nghiêm trọng trong IE. Hôm thứ Hai, Microsoft đã xác nhận rằng tin tặc đã tích cực khai thác lỗ hổng IE có thể cho phép kẻ tấn công chiếm đoạt PC của bạn. Việc khai thác không ảnh hưởng đến người dùng đang

Dump Internet Explorer cho đến khi Microsoft phát hành bản vá lỗi, các chuyên gia bảo mật cảnh báo. Nếu bạn sử dụng Internet Explorer 6, 7, 8 hoặc 9 làm trình duyệt mặc định trên PC Windows, các chuyên gia bảo mật khuyên bạn nên sử dụng một trình duyệt Web khác cho đến khi Microsoft vá lỗ hổng nghiêm trọng trong IE. Hôm thứ Hai, Microsoft đã xác nhận rằng tin tặc đã tích cực khai thác lỗ hổng IE có thể cho phép kẻ tấn công chiếm đoạt PC của bạn. Việc khai thác không ảnh hưởng đến người dùng đang

Cho đến nay, Microsoft cho biết họ đã nhận được các báo cáo về "một số lượng nhỏ các cuộc tấn công nhắm mục tiêu" bằng cách sử dụng khai thác này. Các nhà sản xuất phần mềm đang làm việc trên một bản vá bảo mật cho vấn đề, nhưng công ty vẫn chưa nói liệu nó sẽ phát hành một bản cập nhật bảo mật càng sớm càng tốt hoặc là một phần của chu kỳ cập nhật “patch Tuesday” hàng tháng của họ. "Bản vá thứ ba" tiếp theo sẽ là ngày 9 tháng 10.