LOOPING
Kein Audioplayer unten? Hören Direkt auf Soundcloud.
Mit Doug Aamoth und Paul Ducklin. Intro- und Outro-Musik von Edith Mudge.
Ihr könnt uns auf hören Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher und überall, wo gute Podcasts zu finden sind. Oder lass es einfach fallen URL unseres RSS-Feeds in Ihren Lieblings-Podcatcher.
LESEN SIE DAS TRANSKRIPT
DOUG. Juicejacking, öffentliche Psychotherapie und Spaß mit FORTRAN.
All das und mehr im Naked Security Podcast.
[MUSIKMODEM]
Willkommen zum Podcast, alle zusammen.
Ich bin Doug Aamoth; er ist Paul Ducklin.
Paul, wie geht es Ihnen heute, Sir?
ENTE. Mir geht es sehr gut, Douglas.
Ich bin fasziniert von Ihrem Satz „Spaß mit FORTRAN“.
Nun, ich kenne FORTRAN selbst, und Spaß ist nicht das erste Adjektiv, das mir einfällt, um es zu beschreiben. [LACHT]
DOUG. Nun, Sie könnten sagen: „Sie können ‚FORTRAN‘ nicht ohne ‚Spaß‘ buchstabieren.“
Das ist nicht ganz korrekt, aber …
ENTE. Es ist tatsächlich erstaunlich *ungenau*, Doug! [LACHT]
DOUG. [LACHT] Behalten Sie das im Hinterkopf, denn das hat mit Ungenauigkeiten zu tun.
Diese Woche, am 19. April 1957, lief das erste FORTRAN-Programm.
FORTRAN vereinfachte die Programmierung, beginnend mit einem bei Westinghouse ausgeführten Programm, das beim ersten Versuch einen Fehler auslöste – es erzeugte die Diagnose „Komma fehlt“.
Aber der zweite Versuch war erfolgreich.
Wie gefällt dir das?
ENTE. Das ist faszinierend, Doug, denn mein eigenes – was ich immer für „Wissen“ gehalten habe, sich aber als urbane Legende herausstellen könnte …
…meine eigene Geschichte über FORTRAN stammt ungefähr fünf Jahre danach: der Start der Raumsonde Mariner 1.
Raumfahrzeuge folgen nicht immer genau ihrem Ziel, und sie sollen sich selbst korrigieren.
Nun stellen Sie sich vor, welche Art von Berechnungen damit verbunden sind – das war in den 1960er Jahren ziemlich schwierig.
Und das wurde mir halboffiziell gesagt (gemeint ist: „Ich habe es während meines Informatik-Studiums von einem Dozenten an der Uni gehört, aber es war nicht Teil des Lehrplans“)…
..anscheinend war dieser Fehler auf eine Zeile in FORTRAN zurückzuführen, die sagen sollte DO 51 I = 1,100
, was eine „for-Schleife“ ist.
Dort steht: „Mach 100 Schleifen bis einschließlich Zeile 51.“
Aber die Person tippte DO 51 I = 1.100
, mit einem Punkt, kein Komma.
FORTRAN ignoriert Leerzeichen, also hat es interpretiert DO51I =
als Variablenzuweisung, dieser Variablen den Wert zugewiesen 1.100
, und ging dann einmal um die Schleife ... weil ihm nicht gesagt wurde, dass es in Zeile 51 eine Schleife machen soll, und Zeile 51 nur einmal ausgeführt wurde.
Ich bin immer davon ausgegangen, dass das die Korrekturschleife ist – sie sollte hundert Versuche haben, um das Raumschiff wieder zum Ziel zu bringen, und sie hatte nur einen Versuch, und deshalb funktionierte sie nicht.
[Lacht]
Und es scheint, dass es nicht wirklich wahr ist ... vielleicht ein bisschen wie eine urbane Legende.
Weil es eine andere Geschichte gibt, die besagt, dass der Fehler tatsächlich auf ein Problem in den Spezifikationen zurückzuführen war, wo jemand die zu codierenden Gleichungen aufgeschrieben hatte.
Und für eine der Variablen sagten sie: „Verwenden Sie den aktuellen Wert dieser Variablen“, obwohl Sie eigentlich den Wert dieser Variablen glätten sollten, indem Sie ihn über frühere Messwerte mitteln.
Sie können sich vorstellen, warum das etwas aus der Bahn werfen würde, wenn es mit einer Kurskorrektur zu tun hätte.
Ich weiß also nicht, was stimmt, aber ich mag das DO 51 I = 1,100
Geschichte, und ich habe vor, so lange wie möglich damit zu essen, Doug.
DOUG. [LACHT] Wie ich schon sagte, „Spaß mit FORTRAN“.
ENTE. OK, ich verstehe deinen Standpunkt, Doug.
ENTE. Beide Geschichten machen Spaß…
Etwas nicht so Spaß – ein Aktualisierung ein Aktualisierung ein Aktualisierung.
Ich glaube, dies ist mindestens das dritte Mal, dass wir über diese Geschichte sprechen, aber dies ist die Psychotherapieklinik in Finnland, die alle ihre Patientendaten, einschließlich Notizen von Sitzungen, online in der Cloud unter einem Standardpasswort aufbewahrte, das von genutzt wurde Übeltäter.
Diese Übeltäter versuchten, etwas Geld aus der Firma herauszuholen.
Und als die Firma nein sagte, gingen sie den Patienten nach.
ENTE. Wie schrecklich muss das gewesen sein, eh?
Denn sie hatten nicht nur die ID-Nummern der Patienten und die finanziellen Details, wie sie ihre Behandlung bezahlten.
Und es war nicht nur so, dass sie ein paar Notizen hatten… anscheinend wurden die Sessions aufgenommen und transkribiert, und *diese* wurden hochgeladen.
Sie hatten also im Grunde alles, was Sie Ihrem Therapeuten gesagt hatten …
…und man fragt sich, ob Sie eine Ahnung hatten, dass Ihre Worte für immer erhalten bleiben würden.
Steht vielleicht irgendwo im Kleingedruckten.
Jedenfalls ist es so, wie du sagst.
Der Erpresser ging für rund 450,000 Euro (das entsprach damals etwa einer halben Million US-Dollar) auf das Unternehmen ein, und sie waren nicht bereit zu zahlen.
Also dachten sie: „Hey, warum kontaktiere ich nicht einfach alle Patienten? Weil ich alle ihre Kontaktdaten habe, *und* ich habe alle ihre tiefsten, dunkelsten Geheimnisse und Ängste.“
Der Gauner dachte sich: „Ich kann sie kontaktieren und sagen: ‚Du hast 24 Stunden Zeit, um mir 200 Euro zu zahlen; dann gebe ich Ihnen 48 Stunden Zeit, um mir 500 € zu zahlen; und dann werde ich dich doxxen – ich werde deine Daten ausgeben, damit jeder sie sehen kann.
Und ich habe einen Artikel gelesen, der besagte, dass er, als die Patienten das Geld nicht aufbrachten, tatsächlich Leute fand, die in ihren Gesprächen erwähnt worden waren.
DOUG. Wurde da nicht jemandes Mutter hineingezogen oder so?
ENTE. Ja!
Sie sagten: „Hey, wir haben Gespräche mit Ihrem Sohn; wir werden alles, was er über Sie gesagt hat, aus einer privaten Sitzung löschen.“
Wie auch immer, die gute Nachricht ist, dass die Opfer entschieden haben, dass sie das definitiv nicht hinnehmen würden.
Und viele von ihnen haben es der finnischen Polizei gemeldet, und das gab ihnen den Anstoß, dies als ernsten Fall zu nehmen.
Und seitdem dauern die Ermittlungen an.
Da ist jemand … Ich glaube, er ist immer noch in Finnland in Haft; Er hat seinen Prozess für die Erpresserseite noch nicht beendet.
Aber sie entschieden auch: „Weißt du was, der CEO des Unternehmens, der so schäbig mit den Daten umgegangen ist, sollte eine persönliche Haftung tragen.“
Er kann nicht einfach sagen: „Oh, es war die Firma; wir zahlen eine Strafe“ (was sie taten und schließlich bankrott gingen).
Damit nicht genug – er soll der Chef dieser Firma sein; er soll die Standards setzen und bestimmen, wie sie funktionieren.
Also ging er auch vor Gericht.
Und er wurde gerade für schuldig befunden und zu einer dreimonatigen Haftstrafe verurteilt, wenn auch zur Bewährung.
Wenn er also seine Nase sauber hält, kann er dem Gefängnis entkommen … aber er wurde dafür vor Gericht gestellt und zu einer strafrechtlichen Verurteilung verurteilt.
So leicht der Satz auch klingen mag, das klingt nach einem guten Anfang, oder?
DOUG. Viele Kommentare zu diesem Beitrag sagen, dass sie ihn zwingen sollten, ins Gefängnis zu gehen; er sollte eigentlich Zeit im Gefängnis verbringen.
Aber einer der Kommentatoren, denke ich zu Recht, weist darauf hin, dass dies bei Ersttätern für gewaltfreie Verbrechen üblich ist …
… und er ist jetzt vorbestraft, also wird er sozusagen nie wieder in dieser Stadt arbeiten.
ENTE. Ja, und vielleicht noch wichtiger, es wird jedem eine Pause einräumen, bevor er ihm die Befugnis gibt, in Zukunft eine solche schlechte Entscheidung zu treffen.
Denn es scheint nicht nur so gewesen zu sein, dass er seinem IT-Team erlaubte, schäbige Arbeit zu leisten oder Abstriche zu machen.
Es scheint, dass sie wussten, dass sie zweimal verletzt worden waren, ich glaube 2018 und 2019, und beschlossen: „Nun, wenn wir nichts sagen, kommen wir damit durch.“
Und dann, im Jahr 2020, hat sich offensichtlich ein Gauner die Daten angeeignet und sie in einer Weise missbraucht, dass man nicht wirklich bezweifeln kann, woher sie stammen.
Es war nicht nur: „Oh, ich frage mich, woher sie meine E-Mail-Adresse und nationale Identitätsnummer haben?“
Sie können Ihr privates Psychotherapieprotokoll von Clinic X nur von Clinic X erhalten, wie Sie erwarten würden!
DOUG. Ja.
ENTE. Es gibt also auch den Aspekt, dass, wenn sie 2018 reinkommen würden; wenn sie den Verstoß wie vorgesehen aufgedeckt hätten, dann …
(A) Sie hätten nach dem Gesetz das Richtige getan.
(B) Sie hätten von ihren Patienten das Richtige getan, die im Voraus hätten beginnen können, Vorkehrungen zu treffen.
Und (C) sie hätten einige Bedenken gehabt, zu gehen und die Löcher zu reparieren, anstatt zu sagen: „Oh, lasst uns einfach darüber schweigen, denn wenn wir behaupten, wir hätten es nicht gewusst, dann müssen wir das auch nicht alles tun und wir könnten einfach so weitermachen, wie wir es bereits getan haben.
Es wurde definitiv nicht als harmloser Fehler angesehen.
Daher ist es möglich, bei Cyberkriminalität und Datenschutzverletzungen gleichzeitig Opfer und Täter zu sein.
DOUG. Ein guter Punkt gut formuliert!
Lass uns weitermachen.
Bereits im Februar 2023 haben wir darüber gesprochen betrügerische 2FA-Apps in den App-Stores, und wie sie manchmal einfach verweilen.
Und verweilen sie.
Paul, du wirst eine Live-Demo zeigen, wie eine dieser beliebten Apps funktioniert, damit jeder sehen kann … und sie ist immer noch da, richtig?
ENTE. Es ist.
Leider wird der Podcast kurz nach Fertigstellung der Demo erscheinen, aber dies ist eine Recherche, die von zwei unabhängigen Apple-Entwicklern, Tommy Mysk und Talal Haj Bakry, durchgeführt wurde.
Auf Twitter findet man sie so @mysk_co.
Sie sehen sich regelmäßig Cybersicherheitsthemen an, damit sie Cybersicherheit direkt in ihre spezialisierte Codierung integrieren können.
Sie sind Programmierer nach meinem Herzen, weil sie nicht nur genug tun, um die Arbeit zu erledigen, sie tun mehr als genug, um die Arbeit gut zu erledigen.
Und das war ungefähr zu der Zeit, wenn Sie sich erinnern, das Twitter hatte gesagt: „Hey, wir werden die SMS-basierte Zwei-Faktor-Authentifizierung einstellen. Wenn Sie sich also darauf verlassen, müssen Sie sich eine 2FA-App besorgen. Wir überlassen es Ihnen, einen zu finden; es gibt jede Menge.“
Twitter sagt den Benutzern: Zahlen Sie, wenn Sie weiterhin unsichere 2FA verwenden möchten
Wenn Sie gerade zum App Store oder zu Google Play gegangen sind und etwas eingegeben haben Authenticator App
, du hast so viele Treffer, woher weißt du, welchen du wählen sollst?
Und in beiden Läden, glaube ich, stellten sich die oberen als Schurken heraus.
Im Fall der Top-Such-App (zumindest im Apple Store und einigen der Top-Apps bei Google Play) stellte sich heraus, dass die App-Entwickler beschlossen hatten, ihre Apps zu überwachen, um sie zu überwachen nutzen Google Analytics, um zu erfassen, wie Menschen die Apps nutzen – Telemetrie, wie man es nennt.
Viele Apps machen das.
Aber diese Entwickler waren entweder hinterhältig bösartig oder so ignorant oder nachlässig, dass sie unter den Dingen, die sie über das Verhalten der App sammelten, auch eine Kopie des Seeds für die Zwei-Faktor-Authentifizierung nahmen, der verwendet wird, um alle Codes dafür zu generieren Konto!
Im Grunde hatten sie die Schlüssel zu jedermanns 2FA-Schlössern … alles, scheinbar unschuldig, durch Programmanalysen.
Aber da war es.
Sie sammeln Daten, die das Telefon auf keinen Fall verlassen sollten.
Der Hauptschlüssel für jeden sechsstelligen Code, der alle 30 Sekunden kommt, für immer, für jedes Konto auf Ihrem Telefon.
Wie wäre es damit, Doug?
DOUG. Hört sich schlecht an.
Nun, wir freuen uns auf die Präsentation.
Wir werden die Aufzeichnung ausgraben und sie im Podcast der nächsten Woche den Leuten zeigen … Ich bin gespannt!
In Ordnung, wir kommen direkt zu unserem letzten Thema, über das wir sprechen Saftklau.
Es ist schon eine Weile her… es ist ungefähr zehn Jahre her, seit wir diesen Begriff zum ersten Mal gehört haben.
Und ich muss zugeben, Paul, als ich anfing, dies zu lesen, fing ich an, mit den Augen zu rollen, und dann hörte ich auf, weil: „Warum warnen das FBI und die FCC vor Saftklau? Das muss etwas Großes sein.“
Aber ihr Rat macht nicht viel Sinn.
Irgendetwas muss vor sich gehen, aber es scheint gleichzeitig keine große Sache zu sein.
FBI und FCC warnen vor „Juicejacking“ – aber wie sinnvoll sind ihre Ratschläge?
ENTE. Ich denke, ich würde dem zustimmen, Doug, und deshalb wollte ich das hier aufschreiben.
Die FCC … für diejenigen, die nicht in den Vereinigten Staaten sind, das ist die Federal Communications Commission. Wenn es also um Dinge wie Mobilfunknetze geht, könnte man meinen, sie kennen sich aus.
Und das FBI ist natürlich im Wesentlichen die Bundespolizei.
Wie Sie sagen, wurde dies eine gewaltige Geschichte.
Es hat auf der ganzen Welt Anklang gefunden.
Es wurde sicherlich in vielen Medien im Vereinigten Königreich wiederholt: [DRAMATISCHE STIMME] „Vorsicht vor Ladestationen an Flughäfen.“
Wie Sie sagen, es schien ein bisschen wie eine Explosion aus der Vergangenheit zu sein.
Mir war nicht bewusst, warum es gerade jetzt eine klare und gegenwärtige „massive Gefahr auf Verbraucherebene“ sein sollte.
Ich glaube, es war 2011, als dieser Begriff geprägt wurde, um die Idee zu beschreiben, dass eine betrügerische Ladestation möglicherweise einfach keinen Strom liefert.
Es könnte einen versteckten Computer am anderen Ende des Kabels oder auf der anderen Seite der Steckdose haben, der versucht hat, Ihr Telefon als Gerät (z. B. als Mediengerät) zu mounten und Dateien abzusaugen, ohne dass Sie es merken , alles unter dem Deckmantel, Sie nur mit 5 Volt Gleichstrom zu versorgen.
Und es scheint, als wäre dies nur eine Warnung gewesen, denn manchmal lohnt es sich, alte Warnungen zu wiederholen.
Meine eigenen Tests deuteten darauf hin, dass die Schadensbegrenzung noch funktioniert, die Apple bereits 2011 eingeführt hatte, als Juicejacking zum ersten Mal auf der Black Hat 2011-Konferenz demonstriert wurde.
Wenn Sie ein Gerät zum ersten Mal anschließen, haben Sie die Wahl Trust/Don't Trust
.
Hier gibt es also zwei Dinge.
Erstens müssen Sie eingreifen.
Und zweitens, wenn Ihr Telefon gesperrt ist, kann niemand darauf zugreifen Trust/Don't Trust
Taste heimlich, indem Sie einfach hinüberreichen und die Taste für Sie antippen.
Auf Android habe ich etwas ähnliches gefunden.
Wenn Sie ein Gerät anschließen, wird es aufgeladen, aber Sie müssen in das Einstellungsmenü gehen, den Abschnitt USB-Verbindung aufrufen und vom Keine-Daten-Modus entweder in den Modus „Meine Bilder teilen“ oder „Alle meine Dateien teilen“ wechseln.
Es gibt eine kleine Warnung für iPhone-Benutzer, wenn Sie es an einen Mac anschließen.
Wenn du triffst Trust
Aus Versehen haben Sie das Problem, dass Ihr Mac in Zukunft, wenn Sie es anschließen, selbst wenn das Telefon gesperrt ist, hinter Ihrem Rücken mit Ihrem Telefon interagiert, sodass Sie das Telefon nicht entsperren müssen.
Und die Kehrseite davon, die Zuhörer meiner Meinung nach beachten sollten, ist, dass es sich bei einem iPhone um einen Fehler handelt (andere sagen vielleicht nur: „Oh nein, das ist eine Meinung. Es ist subjektiv. Fehler können nur objektive Fehler sein “) …
… es keine Möglichkeit gibt, die Liste der Geräte, denen Sie zuvor vertraut haben, zu überprüfen und einzelne Geräte aus der Liste zu löschen.
Irgendwie erwartet Apple, dass Sie sich an alle Geräte erinnern, denen Sie vertraut haben, und wenn Sie *einem* von ihnen misstrauen möchten, müssen Sie die Datenschutzeinstellungen auf Ihrem Telefon im Grunde zurücksetzen und *allen* von ihnen misstrauen.
Und außerdem ist diese Option vergraben, Doug, und ich werde sie hier vorlesen, weil Sie sie wahrscheinlich nicht selbst finden werden. [LACHT]
Es ist unter Einstellungen > Allgemeines > iPhone übertragen oder zurücksetzen > Standort und Datenschutz zurücksetzen.
Und die Überschrift lautet „Für neues iPhone vorbereiten“.
Die Implikation ist also, dass Sie dies immer nur verwenden müssen, wenn Sie von einem iPhone zum nächsten wechseln.
Aber es scheint tatsächlich, wie Sie eingangs sagten, Doug, mit dem Juicejacking, dass es eine Möglichkeit gibt, dass jemand einen Zero-Day hat, was bedeutet, dass das Anschließen an einen nicht vertrauenswürdigen oder unbekannten Computer Sie einem Risiko aussetzen könnte.
DOUG. Ich versuche mir vorzustellen, was es bedeuten würde, eine dieser Maschinen an sich zu reißen.
Es ist diese große Maschine in der Größe einer Mülltonne; du müsstest in das gehäuse knacken.
Dies ist nicht wie ein Geldautomaten-Skimmer, bei dem Sie einfach etwas darüber passen können.
Ich weiß nicht, was hier vor sich geht, dass wir diese Warnung erhalten, aber es scheint, als wäre es so schwer, so etwas tatsächlich zum Laufen zu bringen.
Aber abgesehen davon haben wir einige Ratschläge: Vermeiden Sie unbekannte Ladestecker oder -kabel, wenn Sie können.
Das ist gut so.
ENTE. Selbst eine in gutem Glauben errichtete Ladestation verfügt möglicherweise nicht über die Anständigkeit der Spannungsregelung, die Sie sich wünschen.
Und als Kehrseite dazu würde ich vorschlagen, dass Sie, wenn Sie unterwegs sind und feststellen: „Oh, ich brauche plötzlich ein Ladegerät, ich habe kein eigenes Ladegerät dabei“, sehr vorsichtig mit Pfund- Shop oder Dollar-Shop supergünstige Ladegeräte.
Wenn Sie wissen wollen, warum, gehen Sie zu YouTube und suchen Sie nach einem Burschen namens Big Clive.
Er kauft solche billigen Elektrogeräte, nimmt sie auseinander, analysiert die Schaltung und macht ein Video.
Er hat ein fantastisches Video über a gefälschtes Apple-Ladegerät...
…[eine Fälschung], die aussieht wie ein USB-Ladegerät von Apple, das er für 1 £ in einem Pfund-Laden in Schottland gekauft hat.
Und wenn er es auseinander nimmt, seien Sie darauf vorbereitet, schockiert zu sein.
Er druckt auch den Schaltplan des Herstellers aus, und er geht tatsächlich mit einem Filzstift durch und legt ihn unter seine Kamera.
„Da ist ein Sicherungswiderstand; sie haben das nicht aufgenommen; das haben sie weggelassen [fehlende Komponente durchgestrichen].“
„Hier ist eine Schutzschaltung; sie haben all diese Komponenten weggelassen [streicht mehr durch].“
Und schließlich ist er auf etwa die Hälfte der Komponenten reduziert, von denen der Hersteller behauptet, dass sie im Gerät enthalten sind.
Es gibt einen Punkt, an dem es eine Lücke zwischen der Netzspannung (die in Großbritannien 230 Volt Wechselstrom bei 50 Hz wäre) und einer Spur auf der Leiterplatte gibt, die bei der Versorgungsspannung liegen würde (die für USB 5 Volt beträgt) …
… und diese Lücke, Doug, ist wahrscheinlich ein Bruchteil eines Millimeters.
Wie ist es damit?
Vermeiden Sie also unbekannte Konnektoren.
DOUG. Guter Rat.
ENTE. Tragen Sie Ihre eigenen Anschlüsse!
DOUG. Abgesehen von den Auswirkungen auf die Sicherheit ist dies eine gute Option, insbesondere wenn Sie unterwegs sind und schnell aufladen müssen: Sperren oder schalten Sie Ihr Telefon aus, bevor Sie es an ein Ladegerät oder einen Computer anschließen.
Wenn Sie Ihr Telefon ausschalten, wird es viel schneller aufgeladen, das ist also genau das Richtige!
ENTE. Es stellt auch sicher, dass, wenn Ihr Telefon gestohlen wird, was Sie argumentieren könnten, an einer dieser Multi-User-Ladestationen etwas wahrscheinlicher ist, nicht wahr?
DOUG. Ja!
ENTE. Es bedeutet auch, dass, wenn Sie es anschließen und a Trust
Die Eingabeaufforderung erscheint, es ist nicht nur dasitzen, damit jemand anderes sagt: „Ha, das sieht nach Spaß aus“ und auf die Schaltfläche klickt, die Sie nicht erwartet haben.
DOUG. Okay, und dann haben wir: Erwägen Sie, allen Geräten auf Ihrem iPhone nicht zu vertrauen, bevor Sie einen unbekannten Computer oder ein unbekanntes Ladegerät riskieren.
Das ist die Einstellung, durch die Sie gerade gegangen sind Einstellungen > Allgemeines > iPhone übertragen oder zurücksetzen...
ENTE. Ging *runter* hinein; Weg hinunter in die Grube der Dunkelheit. [LACHT]
Sie *müssen* das nicht tun (und es ist ein bisschen mühsam), aber es bedeutet, dass Sie nicht riskieren, einen Vertrauensfehler zu verstärken, den Sie möglicherweise zuvor gemacht haben.
Einige Leute mögen das für übertrieben halten, aber es ist nicht „Du musst das tun“, sondern nur eine gute Idee, weil es dich wieder auf den Anfang bringt.
DOUG. Und last but not least: Erwägen Sie die Anschaffung eines reinen USB-Kabels oder einer Adapterbuchse.
Diese sind verfügbar, und sie werden nur aufgeladen, sie übertragen keine Daten.
ENTE. Ja, ich bin mir nicht sicher, ob es ein solches Kabel im USB-C-Format gibt, aber es ist einfach, sie in USB-A zu bekommen.
Sie können tatsächlich in die Buchse blicken, und wenn die beiden mittleren Anschlüsse fehlen … Ich habe ein Bild in den Artikel über Naked Security von einer Fahrradlampe eingefügt, die ich habe und die nur die äußeren Anschlüsse hat.
Wenn Sie nur Stromanschlüsse sehen, können keine Daten übertragen werden.
DOUG. In Ordnung, sehr gut.
Und lassen Sie uns von einem unserer Leser hören … so etwas wie ein Kontrapunkt zum Saftklau-Stück.
Naked Security Reader NotConcerned schreibt auszugsweise:
Dieser Artikel kommt etwas naiv rüber. Natürlich ist Juicejacking kein weit verbreitetes Problem, aber jede Warnung auf der Grundlage eines sehr einfachen Tests des Anschließens von Telefonen an einen Windows- und Mac-PC und das Erhalten einer Eingabeaufforderung zu ignorieren, ist ziemlich albern. Das beweist nicht, dass es keine Methoden gibt, bei denen keine Klicks oder Taps erforderlich sind.
Was sagst du, Paul?
ENTE. [Leichtes Seufzen] Ich verstehe.
Es könnte einen 0-Tag geben, das heißt, wenn Sie es an eine Ladestation anschließen, gibt es möglicherweise eine Möglichkeit für einige Telefonmodelle, einige Betriebssystemversionen, einige Konfigurationen … wo es irgendwie magisch umgehen könnte Trust
Aufforderung oder stellen Sie Ihr Android automatisch in den PTP-Modus oder Dateiübertragungsmodus statt in den Keine-Daten-Modus.
Es ist nicht unmöglich.
Aber wenn Sie wahrscheinlich esoterische Millionen-Dollar-Zero-Days in die Liste der Dinge aufnehmen, vor denen Organisationen wie die FCC und das FBI pauschal warnen, dann sollten sie Tag für Tag warnen: „Nicht benutze dein Telefon; verwenden Sie nicht Ihren Browser; benutzen Sie nicht Ihren Laptop; Verwenden Sie nicht Ihr WLAN; gar nichts drücken“, finde ich.
Ich denke, was mich an dieser Warnung beunruhigt, ist nicht, dass Sie sie ignorieren sollten.
(Ich denke, dass die Details, die wir in den Artikel aufgenommen haben, und die Tipps, die wir gerade durchgegangen sind, darauf hindeuten, dass wir es mehr als ernst genug nehmen – wir haben dort einige anständige Ratschläge, denen Sie folgen können, wenn Sie möchten.)
Was mich an dieser Art von Warnung beunruhigt, ist, dass sie als eine so klare und gegenwärtige Gefahr dargestellt und auf der ganzen Welt aufgegriffen wurde, so dass sie den Menschen gewissermaßen impliziert: „Oh, nun, das bedeutet, dass wenn ich bin Unterwegs muss ich mein Telefon nur nicht an komischen Orten anschließen, und schon ist alles in Ordnung.“
Wobei es in der Tat wahrscheinlich 99 andere Dinge gibt, die Ihnen viel mehr Sicherheit und Geborgenheit geben würden, wenn Sie diese tun würden.
Und Sie sind wahrscheinlich keinem erheblichen Risiko ausgesetzt, wenn Ihnen der Saft ausgeht und Sie Ihr Telefon wirklich *aufladen* müssen, weil Sie denken: „Was ist, wenn ich keinen Notruf tätigen kann?“
DOUG. In Ordnung, ausgezeichnet.
Danke, NotConcerned, dass du das geschrieben hast.
ENTE. [DEADPAN] Ich nehme an, dieser Name war eine Ironie?
DOUG. [LACHT] Ich denke schon.
Wenn Sie eine interessante Geschichte, einen Kommentar oder eine Frage haben, die Sie einreichen möchten, würden wir sie gerne im Podcast lesen.
Sie können eine E-Mail an tips@sophos.com senden, einen unserer Artikel kommentieren oder uns in den sozialen Netzwerken kontaktieren: @nakedsecurity.
Das ist unsere Show für heute; vielen dank fürs zuhören.
Für Paul Ducklin bin ich Doug Aamoth und erinnere Sie bis zum nächsten Mal daran, …
BEIDE. Bleib sicher!
[MUSIKMODEM]
Ausgewähltes Bild der gestanzten Computerkarte von Arnold Reinhold via Wikipedia für CC BY-SA 2.5
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Die Zukunft prägen mit Adryenn Ashley. Hier zugreifen.
- Quelle: https://nakedsecurity.sophos.com/2023/04/20/s3-ep131-can-you-really-have-fun-with-fortran/
- :hast
- :Ist
- :nicht
- $UP
- 000
- 1
- 100
- 2011
- 2018
- 2019
- 2020
- 2023
- 2FA
- a
- LiveBuzz
- darüber
- absolut
- AC
- Konto
- genau
- Erwerb
- berührt das Schneidwerkzeug
- Adresse
- eingestehen
- vorantreiben
- Beratung
- Nach der
- Flughäfen
- Alle
- Zulassen
- entlang
- bereits
- Gut
- ebenfalls
- immer
- unter
- an
- Analytik
- und
- androide
- Ein anderer
- jedem
- von jedem Standort
- auseinander
- App
- App Store
- App-Stores
- Apple
- Apps
- April
- SIND
- argumentieren
- um
- Artikel
- Artikel
- AS
- Aussehen
- zugewiesen
- angenommen
- At
- Geldautomat
- Audio-
- Authentifizierung
- Autor
- Autorität
- Im Prinzip so, wie Sie es von Google Maps kennen.
- verfügbar
- Mittelung
- Zurück
- Badewanne
- schlechte Daten
- bankrott
- basierend
- basic
- Grundsätzlich gilt
- BE
- Denken Sie
- wurde
- weil
- war
- Bevor
- begann
- Anfang
- hinter
- Sein
- Glauben
- unten
- zwischen
- Big
- Bit
- Schwarz
- Black-Hat-
- Tafel
- BOSS
- beide
- gekauft
- Verletzung
- Verstöße
- Browser
- Fehler
- Bugs
- Taste im nun erscheinenden Bestätigungsfenster nun wieder los.
- Kauft
- by
- Kabel
- Kabel
- rufen Sie uns an!
- namens
- Kamera
- CAN
- Kann bekommen
- Karte
- tragen
- Weitermachen
- Häuser
- CEO
- sicherlich
- berechnen
- aufladen
- Ladestationen
- billig
- Wahl
- Auswählen
- Schaltbild
- Anspruch
- behauptet
- klar
- Klinik
- Cloud
- Code
- Programmierung
- geprägt
- Das Sammeln
- COM
- wie die
- Kommentar
- Bemerkungen
- Provision
- gemeinsam
- Kommunikation
- Unternehmen
- Komponente
- Komponenten
- Computer
- Computerwissenschaften
- Konferenz
- Sich zusammenschliessen
- Verbindung
- Geht davon
- betrachtet
- Kontakt
- Gespräche
- Überzeugung
- Ecken
- könnte
- Fälschung
- Kontrapunkt
- Kurs
- Platz
- Riss
- Kriminell
- Strom
- Sorgerecht
- Schneiden
- Cyber-Kriminalität
- Internet-Sicherheit
- ACHTUNG
- technische Daten
- Datenverstöße
- Tag
- dc
- Deal
- entschieden
- Entscheidung
- tiefsten
- Standard
- definitiv
- Lieferanten
- Demo
- Synergie
- beschreiben
- Detail
- Details
- Bestimmen
- Entwickler
- Gerät
- Geräte
- DID
- DIG
- Rabatt
- Misstrauen
- Tut nicht
- Dabei
- Dollar
- Nicht
- DOT
- zweifeln
- nach unten
- dramatisch
- Drop
- abladen
- Früher
- entweder
- elektronisch
- Notfall
- genug
- sorgt
- Enter
- Gleichungen
- Fehler
- insbesondere
- im Wesentlichen
- Sogar
- schließlich
- ÜBERHAUPT
- Jedes
- jedermann
- alles
- genau
- Beispiel
- Ausgezeichnet
- erwarten
- erwartet
- Erpressung
- Augenfarbe
- Glauben
- fantastisch
- faszinierend
- beschleunigt
- FBI
- FCC
- Ängste
- Februar
- Bundes-
- Federal Communications Commission
- Bundespolizei
- Kerl
- gemustert
- Reichen Sie das
- Mappen
- Finale
- Revolution
- Finden Sie
- Finnland
- Vorname
- erstes Mal
- passen
- Fixieren
- Flip
- folgen
- Aussichten für
- Zwingen
- für immer
- Format
- vorwärts
- gefunden
- Fraktion
- für
- Spaß
- komisch
- Zukunft
- Lücke
- erzeugen
- bekommen
- bekommen
- ABSICHT
- gegeben
- Go
- Goes
- gehen
- gut
- Google Analytics
- Google Play
- groß
- schuldig
- Hälfte
- passiert
- hart
- Hut
- Haben
- he
- Überschrift
- hören
- gehört
- Herz
- hier
- versteckt
- Hit
- Treffer
- Bohrungen
- STUNDEN
- Gehäuse
- Ultraschall
- HTTPS
- i
- KRANK
- ID
- Idee
- Identitätsschutz
- Image
- Bild
- Auswirkungen
- unmöglich
- in
- Geneigt
- das
- Einschließlich
- unabhängig
- Krankengymnastik
- beantragen müssen
- interagieren
- interessant
- eingreifen
- in
- Untersuchungen
- beteiligt
- iPhone
- Ausgabe
- IT
- SEINE
- Gefängnis
- Job
- jpg
- Behalten
- Wesentliche
- Tasten
- Art
- Wissen
- Laptop
- Nachname
- starten
- Recht
- Verlassen
- Dozent
- Haftung
- !
- Gefällt mir
- wahrscheinlich
- Line
- Liste
- Hören
- wenig
- leben
- Belastungen
- Standorte
- verschlossen
- Lang
- aussehen
- suchen
- SIEHT AUS
- Los
- ich liebe
- mac
- Maschine
- Maschinen
- gemacht
- um
- MACHT
- Making
- Hersteller
- viele
- massiv
- Master
- Kann..
- Bedeutung
- Mittel
- Medien
- Medien
- erwähnt
- MENÜ
- nur
- Methoden
- Mitte
- könnte
- Million
- Geist / Bewusstsein
- aufgeschlossen
- Kommt demnächst...
- Fehler
- Milderung
- Mobil
- Mobilfunknetze
- Model
- für
- Geld
- Überwachen
- Monat
- mehr
- Mutter
- MOUNT
- schlauer bewegen
- ziehen um
- Musik
- Musical
- Nackte Sicherheit
- Nackter Sicherheits-Podcast
- Name
- National
- Need
- erforderlich
- Netzwerke
- Neu
- News
- weiter
- Nase
- Notizen
- jetzt an
- Anzahl
- Zahlen
- Ziel
- Gelegenheiten
- of
- angeboten
- Alt
- on
- EINEM
- laufend
- Online
- einzige
- betreiben
- die
- Betriebssystem
- Meinung
- Option
- or
- Auftrag
- Organisationen
- Andere
- Anders
- UNSERE
- Outlets
- übrig
- besitzen
- bezahlt
- Schmerzen
- Teil
- Passwort
- passt
- Vertrauen bei Patienten
- Patientendaten
- Patienten
- Alexander
- AUFMERKSAMKEIT
- Land
- PC
- Peer
- Personen
- vielleicht
- person
- persönliche
- Telefon
- Telefone
- abgeholt
- ein Bild
- Stück
- PIT
- Ort
- Länder/Regionen
- Plan
- Plato
- Datenintelligenz von Plato
- PlatoData
- Play
- Spieler
- Stecker
- Podcast
- Podcasts
- Points
- Punkte
- Polizei
- Arm
- Pop
- Beliebt
- Möglichkeit
- möglich
- Post
- BLOG-POSTS
- Werkzeuge
- bereit
- Gegenwart
- presentation
- vorgeführt
- Presse
- früher
- Drucke
- Gefängnis
- Datenschutz
- privat
- wahrscheinlich
- Sonde
- Aufgabenstellung:
- Produziert
- Programm
- Programmierer
- Programmierung
- Schutz-
- Belegen
- die
- Bereitstellung
- Psychotherapie
- Öffentlichkeit
- setzen
- Versetzt
- Frage
- schnell
- Erreichen
- Lesen Sie mehr
- Leser
- Lesebrillen
- realisieren
- wirklich
- Aufladen
- Rekord
- aufgezeichnet
- Einspielung vor
- regelmäßig
- Rechtliches
- merken
- wiederholen
- wiederholt
- berichten
- erfordern
- Forschungsprojekte
- Überprüfen
- Risiko
- riskieren
- Straße
- Rollen
- rund
- rss
- Führen Sie
- Sicherheit
- Sicherheit und Gefahrenabwehr
- Said
- gleich
- sagt
- Wissenschaft
- Schottland
- Suche
- Zweite
- Sekunden
- Abschnitt
- Sicherheitdienst
- Samen
- scheint
- Sinn
- Satz
- ernst
- Sitzung
- Sessions
- kompensieren
- Einstellung
- Einstellungen
- schockiert
- Short
- sollte
- erklären
- signifikant
- ähnlich
- vereinfachte
- da
- Herr
- Sitzend
- Größe
- klein
- So
- Social Media
- einige
- Jemand,
- etwas
- irgendwo
- sie sind
- Klingen
- Soundcloud
- Raumfahrt
- Raumfahrzeug
- Räume
- Spezialist
- Spezifikationen
- BUCHSTABIEREN
- verbringen
- Spotify
- quadratisch
- Normen
- Anfang
- begonnen
- beginnt
- Staaten
- Station
- Stations
- bleiben
- Immer noch
- gestoppt
- speichern
- Läden
- Geschichten
- Geschichte
- Studieren
- abschicken
- erfolgreich
- so
- vermutet
- suspendiert
- Schalter
- System
- Nehmen
- nimmt
- Einnahme
- sprechen
- Armaturen
- Target
- Aufgabe
- Team
- erzählt
- zehn
- Test
- Tests
- als
- dank
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- das Gesetz
- Großbritannien
- die Welt
- ihr
- Sie
- sich
- deswegen
- Diese
- Ding
- Dritte
- fehlen uns die Worte.
- dachte
- nach drei
- Durch
- Zeit
- Tipps
- zu
- heute
- Top
- Thema
- Spur
- Zugkraft
- Abschrift
- privaten Transfer
- übertragen
- Behandlungen
- Versuch
- was immer dies auch sein sollte.
- Vertrauen
- vertraut
- WENDE
- Turned
- Uk
- Letztlich
- für
- Vereinigt
- USA
- Universität
- öffnen
- hochgeladen
- URBAN
- URL
- us
- US-Dollar
- USB
- USB-C
- -
- benutzt
- Nutzer
- Wert
- Opfer
- Opfer
- Video
- Stimme
- Stromspannung
- ging
- Warnung
- wurde
- Weg..
- we
- Woche
- GUT
- waren
- Was
- ob
- welche
- WHO
- Wi-fi
- weit verbreitet
- Wikipedia
- werden wir
- Fenster
- mit
- ohne
- Worte
- Arbeiten
- Werk
- weltweit wie ausgehandelt und gekauft ausgeführt wird.
- würde
- Würde geben
- schreiben
- Schreiben
- X
- Jahr
- U
- Ihr
- sich selbst
- Youtube
- Zephyrnet
- Null