Klik en sleep op de onderstaande geluidsgolven om naar een willekeurig punt te gaan. Je kan ook luister direct op Soundcloud.

---

DOUG. Log4Shell: het is nog niet voorbij tot het voorbij is.

Instagram oplichting. En Apple-bugs.

Dat alles, en meer, op de Naked Security-podcast.

[MUZIEK MODEM]

Welkom bij de podcast, allemaal.

Eens kijken of ik me nog herinner hoe ik dit moet doen, want ik ben twee weken vrij geweest.

Paul, ik zie dat je hebt gewerkt, en je hebt... gesprongen op de Lijst met ergste incidenten van het jaar bandwagon, maar op een veel productievere en willekeurige manier.

---

EEND. [LACHT] Dank je, Doug.

Ik dacht dat je wreed zou zijn en zou zeggen: "Ohhhhh, je hebt ons zojuist je Top N-lijst gegeven" ... toen was je er erg aardig over!

Ik besloot de mijne te bellen De Top N Cybersecurity-verhalen van 2021 voor kleine positieve gehele getallen van N [GELACH], dus hopelijk aantrekkelijk voor mensen met een vaag wiskundige neiging.

---

DOUG. Nou, als voormalig journalist die af en toe te maken had met wat we vroeger de... Eindejaarsprullenbak voor contant geld dat we zouden schrijven, zou dit erg handig zijn geweest om te hebben.

---

EEND. Douglas, geef je toe dat je lijstjes schreef in je tijd?

---

DOUG. Ik gaf toe dat ik redacteuren had die zeiden: "We moeten, we moeten absoluut een top tien hebben, iets over iets."

Had ik maar zo'n generator...

---

EEND. Ja, ik schreef een klein scriptje, en ik heb er 14 items in gedaan.

Het script schudt figuurlijk het kaartspel - met behulp van een correcte implementatie van het willekeurige shuffle-algoritme zoals oorspronkelijk gepresenteerd door de beroemde Donald Knuth - en drukt vervolgens de Top N voor je af.

En soms, wanneer u dit kleine programma met de Top 3 uitvoert, staat "IoT" bovenaan, omdat u zich *zou* zorgen moet maken over Internet of Things-dingen: wij heb dat nog steeds niet overwonnen, al die jaren verder.

Maar je wilt er ook dingen in zien zoals "Kaseja","hafnium","AfdrukkenNachtmerrie","Helder zicht’ en alle controverse eromheen.

En de enige kritiek die ik kreeg, Doug, was dat iemand zei: "Hoe kun je niet opnemen?" Zonnewinden"?

---

DOUG. Dat is hetzelfde commentaar op elk van deze lijstjes: "Hoe zou je ______ niet kunnen opnemen?"

---

EEND. Nou, het antwoord daarop is, technisch gezien, Solarwinds….

---

DOUG. Oh ja! 2020!

---

EEND. December 2020!

Wat vliegt de tijd als je plezier hebt, Doug.

---

DOUG. Ach ja: leuk.

Nou, over plezier gesproken, we hebben wel een Leuk weetje, natuurlijk, voor de show van deze week.

En het is dit: hoewel beide bedrijven in de jaren dertig werden opgericht, hebben de Packards in "Hewlett-Packard" en "Packard Bell" niets met elkaar te maken.

HP's Packard is David Packard; Packard Bell's Packard is Leon Packard.

HP begon in 1939 met elektronische test- en meetapparatuur, terwijl Packard Bell in 1933 begon met het produceren van consumentenradio's.

---

EEND. Oooh, Hewlett-Packard, hè? Ik hield vroeger van die rekenmachines.

---

DOUG. Misschien praten we daar later in de show nog over. Dus ga daar maar voor zitten.

Maar tot die tijd moeten we het hebben over iets dat zeker op je eindejaarslijstje hoort.

Waar staan ​​we met de Log4Shell-kwetsbaarheid?

Toen ik de week voor Kerstmis ging slapen en gisteren wakker werd, hoopte ik dat we dit ook naar bed hadden gebracht.

Maar het lijkt alsof het hier en daar nog steeds een beetje opborrelt.

---

EEND. Welnu, Log4Shell kreeg wel wat je zou kunnen noemen een "vierde aflevering” tussen Kerst en Nieuwjaar.

Laten we dus nog eens kijken naar wat er in december 2021 gebeurde.

---

DOUG. OK, dus mensen ontdekten deze "functie" [GELACH].

In principe kun je code in formulieren invoegen die veel dingen kunnen doen, waaronder aanvallen.

En toen realiseerden we ons allemaal dat dit een wijdverbreid probleem was.

En toen begonnen we het in de put in onze maag te voelen, met een klein beetje adrenaline, toen het tot ons doordrong dat dit zelfs diep in een netwerk kan worden uitgebuit.

En toen reageerde Apache door 2.15.0 van Log4j te publiceren.

Toen de aanvallen begonnen en bleven toenemen, zeiden meer onderzoekers: "Hé, kijk eens wat ik heb gevonden! Laat me deze scan uitvoeren om te zien hoeveel hiervan misbruikt kunnen worden.”

Dus deze onderzoekers probeerden te helpen, maar hielpen niet echt.

---

EEND. Ja, er is een limiet aan hoeveel hulp je soms nodig hebt.

Te veel koks bederven de bouillon, enz.

---

DOUG. En dan, zoals soms gebeurt wanneer je een doos van Pandora op deze manier opent, groef Apache een beetje dieper en vond een andere fout en werkte deze opnieuw bij naar 2.16.0.

En toen vonden ze een derde fout.

---

EEND. Dat deden ze. [GELACH]. Het was het "geschenk dat blijft nemen", Doug.

---

DOUG. zo 2.17.0 december XNUMX.

En toen kwam de regering tussenbeide en zei: "Kerstavond! Deadline voor de patch!”.

En wat gebeurde er toen?

---

EEND. Nou, ik weet niet of iedereen de deadline heeft gehaald, maar het is allemaal redelijk rustig verlopen.

En de meeste bedrijven die ik ken, hadden het toen behoorlijk goed gedaan.

Toen, ziedaar, tussen Kerstmis en Nieuwjaar kwam er nog een fout naar buiten, en Apache moest... produceer een andere oplossing.

Dit was 2.17.1, of CVE-2021-44832 als je ernaar wilt gaan zoeken.

Dus het slechte nieuws was: "Oh nee!"

Skeleton personeel bij veel organisaties; reactie op bedreigingen, SecOps, IT-teams, allemaal ingekort voor de kerstvakantie.

“Gaat het weer zo erg worden als voorheen? Moeten we vakanties annuleren en alle hens aan dek hebben?”

Gelukkig bleek dat om deze te exploiteren, losjes gesproken, een aanvaller al enige voetafdruk in uw netwerk zou moeten hebben.

Ze moesten al zijn binnengedrongen om met configuratiebestanden te kunnen spelen, of ze moesten uw netwerkverkeer kunnen manipuleren en onderscheppen.

Dat was dus de vierde kwetsbaarheid.

Zoals je zegt, hadden we 2.15.0; dan snel 2.16.0 en 2.17.0; en toen, na Kerst en Tweede Kerstdag, hadden we ineens 2.17.1.

En ik denk dat dat een indicatie is, want het werd geen 2.18.0…

...misschien was dat bedoeld als een hint dat dit een iets minder belangrijk probleem is dan de vorige.

Dus hoewel er een oproep tot bewapening was, was die oproep niet dat je nu alle hens aan dek moest hebben, het netwerk opnieuw moest scannen, alles opnieuw moest doen.

Je moet wel patchen, maar je hoefde waarschijnlijk niet iedereen terug te brengen om het op oudejaarsavond te doen. [GELACH]

Maar als u dat deed, onthoud dan dat patchen alleen in dit geval niet voldoende is.

Als oplichters dit misbruiken in uw netwerk, zou dat waarschijnlijk zijn omdat ze al binnen waren en met dingen konden spelen.

En als ze kunnen rommelen met je Log4j-instellingen, dan moet je jezelf afvragen: "Mijn god. Ik vraag me af met welke andere configuratie-instellingen ze kunnen spelen? Ik vraag me af welk ander netwerkverkeer ze kunnen onderscheppen?”

Dus je moet een beetje een recensie doen als je denkt dat je echt risico loopt op deze.

Doug, mag ik mijn . promoten Log4Shell – De film video?

---

DOUG. Please!

Ik wilde net zeggen: "Er is een film onderaan" ... doe het alsjeblieft.

---

EEND. Eigenlijk werd ik een beetje moe van het kijken naar weer een YouTube-video van iemand die een online exploitkit heeft gedownload die in Java is geschreven.

Hij zette het op, viel een willekeurige server aan en zei: "Zie je, kijk wat er gebeurt", zonder echt uit te kunnen leggen hoe het allemaal werkte en alle afzonderlijke componenten te laten zien.

Dus ik wilde een echte exploit laten zien waarin ik een rekenmachine liet vallen.

(En ik heb een HP-rekenmachine, Doug, gebruikt om absoluut duidelijk te zijn!)

---

DOUG. [LACHT] Oké!

---

EEND. Ik wilde Log4j eigenlijk laten zien op een op zichzelf staande, maar toch realistische manier.

Ik wilde de details laten zien op een manier die het je niet gemakkelijk maakte om een ​​kit te downloaden en zelf een aanval uit te voeren...

... Ik wilde het op een manier doen die je helpt te begrijpen naar wat voor soort dingen je zou kunnen zoeken in je netwerk.

En om eerlijk te zijn, het was ook een beetje van: "Dit is de reden waarom je waarschijnlijk een 'dankjewel'-kaart naar je IT-mensen moet sturen."

Dit is waarom ze aan het werk waren toen iedereen op vakantie ging, want je kunt zien dat dit er echt toe doet.

Het was een bug die werd uitgebuit, maar je had geen bedrog nodig.

Het was wat je zou kunnen noemen een "bug in productbeheer" [GELACH], geen "programmeerfout".

Het was correct geïmplementeerd - het was alleen dat het in de eerste plaats niet had moeten worden geïmplementeerd.

---

DOUG. [LACHT] Het heeft de QA-tests met vlag en wimpel doorstaan!

---

EEND. Ja, en dat is het probleem.

Het betekende dat absoluut iedereen de bug kon gebruiken, waarschijnlijk zonder het te begrijpen.

Terwijl als je een verdediger wilt zijn, de details echt begrijpt, zoals hoe het DNS-gedeelte werkt; hoe de LDAP en andere TCP-onderdelen ervan werken; hoe het injectiegedeelte van de Java-klasse werkt ...

Ik hoop dat de video u in ongeveer 18 minuten enkele hints geeft over wat uw IT-team aan het doen was en waarom ze het deden, waarom het diep in uw netwerk kan gebeuren, niet alleen op uw servers in het netwerk: edge, en geeft ook je een goed idee van het soort dingen dat zal werken.

Mensen zeggen: "Oh, ga en blokkeer TCP-verbindingen van je kwetsbare servers", maar zoals de video laat zien, is dat misschien niet genoeg.

Er zijn ook andere manieren waarop de boeven gegevens kunnen stelen.

Dus daar heb je het. Log4Shell – De film, Doug.

---

DOUG. Perfect.

Oké, bekijk dat eens, samen met het artikel – het staat in het artikel, dat is Log4Shell-kwetsbaarheid nummer vier - Veel ophef over iets op nakedsecurity.sophos.com.

Nu wil ik het B-woord niet gebruiken in deze podcast - het is een gezinsvriendelijke podcast.

Maar dit volgende verhaal over Instagram-zwendel is, oooh, ik ga het zeggen, aaah: dit is het beste dat ik in tijden heb gezien.

---

EEND. Ja.

Eigenlijk zou je hier niet voor moeten vallen, maar het is verrassend geloofwaardig als je gewoon haast hebt, vooral omdat dit midden in de vakantieperiode gebeurde.

Ik wil niet zeggen dat het briljant was... maar ja, zoals je al zei, er zit zeker een B-woord in dat wacht om eruit te komen.

---

DOUG. Ja - wat een verschil een beetje criminele kopieerbewerkingen kunnen maken.

Dus, terwijl we hier doorheen gaan: je wordt beschuldigd van inbreuk op iemands auteursrecht, en ze sturen je een smerige gram per e-mail ... die wat zegt?

---

EEND. Dat is het ding, Doug - het is niet zo'n vervelende grap.

Ze zijn gewoon de persoon in het midden, dus ze bedreigen je niet openlijk.

---

DOUG. Ja, die zou ik terug moeten lopen.

Voor iedereen die ooit te maken heeft gehad met feitelijke claims zoals deze, is het eigenlijk gewoon: "Iemand beweerde dat je hun copyright hebt gestolen. Klik hier door. Er is dit formulier dat je moet invullen om te zeggen waar je het vandaan hebt, heb je ervoor betaald, of kun je bewijzen dat je het niet illegaal hebt gebruikt?”

---

EEND. Ja, dat is heel normaal, niet?

Er staat alleen: "We hebben onlangs een klacht ontvangen. Uw account wordt verwijderd als u geen bezwaar maakt. Als u denkt dat dit een vergissing is, kunt u op deze knop klikken.”

Het ziet er niet slecht uit, of wel, Doug?

Het gaat naar een domein genaamd fb-notify DOT com; het is HTTPS; het is niet iets volkomen bizar zoals een gratis domeinnaam in een land waar je nog nooit van hebt gehoord; het is niet een willekeurige reeks karakters, want dat is alles wat ze kunnen krijgen.

Het is fb-notify DOT com.

Het schraapt informatie van je daadwerkelijke Instagram-account, dus met de Naked Security-link die ik volgde, zoog het het aantal berichten dat we hebben geplaatst en het aantal volgers dat we hebben weg...

[GELACH] Hoe graag mensen weten hoeveel volgers ze hebben. Ze hebben de neiging om zich op dat aantal te fixeren.

De gegevens zien er correct uit omdat het *is* correct - ze kopiëren het gewoon van uw echte pagina.

Ik heb ons voorbeeld gezien, en een paar anderen: ze kopiëren niet de meest recente post, maar ik denk dat het in alle gevallen de voorlaatste afbeelding was.

Het is dus eigenlijk een afbeelding van uw account.

U klikt op de knop en, onvoorstelbaar, zegt het gewoon: "Inloggen vereist".

OK, het is niet echt hoe de inlogpagina eruit zou zien, maar zelfs als je geen haast hebt, ziet het er niet schandalig uit, toch?

---

DOUG. Nr.

Zeker als je dit nog niet eerder hebt gedaan.

Je zegt: "OK, ik denk dat ik moet inloggen."

---

EEND. En wat je ook typt, het luidt: "Verkeerd wachtwoord. Controleer uw wachtwoord.”

Dus je typt het de tweede keer zorgvuldiger in.

Zie je hoe de boeven hier denken?

---

DOUG. Ja.

---

EEND. U voert uw wachtwoord de tweede keer zorgvuldiger in en dan staat er: "Bedankt, uw bezwaar is succesvol verzonden."

Er staat dat je binnen 24 uur een reactie krijgt.

Het is niet *precies* hoe het proces werkt, maar het is een beetje hoe het werkt: er is geen onmiddellijke beslissing, dus dat is ook niet onredelijk.

En het laatste wat het doet: het leidt je door naar de echte copyright-adviespagina van Facebook/Instagram.

---

DOUG. Net de afstap genageld!

---

EEND. Dat is de pagina waar je eigenlijk had moeten beginnen.

---

DOUG. [LACHT] Ah, de ironie!

---

EEND. En natuurlijk, zoals je je kunt voorstellen, is ons eerste advies: leer zelf waar die pagina is.

---

DOUG. OK, dat leidt ons mooi naar onze tips.

Dus wat kunnen mensen doen om oplichting zoals deze te voorkomen?

---

EEND. Nou, die eerste is natuurlijk: zoek uit waar de Facebook, de Instagram, de Twitter, de LinkedIn-pagina voor auteursrechtschending is.

Leer wat de procedure is, voor het geval het u overkomt.

Dat brengt ons in feite van tip nul naar tip één: klik niet op de link in de e-mail.

Als het echt een inbreuk op het auteursrecht is, kun je zelf rechtstreeks naar Facebook... of Instagram, of Twitter of LinkedIn gaan via je browser of je app, zonder dat je een link in een e-mail hoeft te gebruiken.

En in dit geval willen ze natuurlijk je social media-wachtwoord, want dat is echt waardevol voor de boeven.

Het heeft misschien geen directe invloed op u, maar u weet dat als criminelen uw wachtwoord voor sociale media krijgen, het volgende wat er gaat gebeuren, is dat al uw vrienden, al uw vrienden of familie, alle mensen in uw binnenste cirkelgroepen beginnen te krijgen "berichten van jou", dingen zeggen die je nooit zou durven zeggen.

Of, erger nog, je goede naam gebruiken om te proberen mensen over te halen onbetrouwbare investeringen te doen waar ze veel meer kans hebben om ze te geloven omdat ze afkomstig zijn van iemand die ze kennen.

Dus je reputatie staat op zijn minst te worden verbrand.

---

DOUG. En dan is mijn favoriet, als iemand die van nature lui is,: gebruik gewoon een wachtwoordmanager en 2FA wanneer je maar kunt, want dat zal al het zware werk voor je doen.

We hebben een geweldige video onderaan dit bericht die je wat extra advies zal geven.

En als je al een influencer bent; als je al meerdere keren viraal bent gegaan: praat met iemand anders die hetzelfde heeft gedaan.

Ze kunnen je een beetje uitleggen wat een inbreuk op het auteursrecht eigenlijk inhoudt, zodat je weet waar je op moet letten als je in de toekomst ooit wordt beschuldigd.

Oké, dat is Oplichting wegens inbreuk op het auteursrecht op Instagram - laat je niet meeslepen op nakedsecurity.sophos.com.

En het is die tijd van de show: Deze week in de technische geschiedenis.

We hebben het even gehad over…

---

EEND. Het zijn rekenmachines, niet? RPN rekenmachines? Het zijn *echte* rekenmachines?

---

DOUG. We komen bij de rekenmachines!

We spraken eerder in de show wat over HP en deze week, op 04 januari 1972, werd de HP-35 draagbare wetenschappelijke rekenmachine, een wereldprimeur, geboren.

Het werd de HP-35 genoemd, simpelweg omdat het 35 knoppen had.

De rekenmachine was een uitdaging van HP's Bill Hewlett om de 9100A wetenschappelijke rekenmachine van het bedrijf zo klein mogelijk te maken, zodat hij in zijn borstzak zou passen.

De HP-35 viel op omdat hij in staat was om trigonometrische en exponentiële functies onderweg uit te voeren - dingen waarvoor tot dan toe rekenlinialen nodig waren.

Bij de lancering werd het verkocht voor $ 395, wat bijna $ 2500 is in het geld van vandaag.

En, Paul, heb je ooit een HP rekenmachine gebruikt?

Ik gok dat het antwoord [GELACH] "Ja" is.

---

EEND. Nu. Doug, ik ben kijkend naar de HP-35...

(Op de dag van vandaag 50 jaar geleden - geweldig! Nou, de dag dat we toch opnemen.)

... het is niet alleen een emulator van die reeks HP rekenmachines: het simuleert in feite de CPU die in de jaren 1970 en 1980 in HP rekenmachines werd gebruikt, inclusief modellen zoals de eerbiedwaardige HP-12C, de HP-16C, de HP-21 , de HP-32, allemaal.

Ze gebruiken allemaal dezelfde CPU, dus [de auteur van deze software] iets heeft geschreven dat kan doen alsof het de eigenlijke rekenmachine is.

En dan geeft hij een kopie van alle niet-auteursrechtelijk beschermde HP ROM's van de dag, waarvan sommige afkomstig waren uit lijsten en waarvan sommige ...

… Ik geloof dat voor de HP-35 iemand de bovenkant van de ROM-chips heeft afgeslepen, er microscopische foto's van heeft gemaakt en vervolgens een Perl-script heeft geschreven dat ze in feite heeft gedigitaliseerd.

---

DOUG. O mijn God!

---

EEND. Verbazingwekkend.

Toen deze rekenmachines werden gemaakt, hadden de VS de Berner Conventie inzake auteursrecht nog steeds niet ondertekend - ik geloof dat de VS pas halverwege de jaren tachtig ondertekenden.

Sommige ROM's zijn dus niet auteursrechtelijk beschermd, dus het is echt legaal om ze te hebben en te gebruiken.

Als je deze simulatie uitvoert – ik kijk nu naar de HP-35, wat was het een ding! – als je dit programma uitvoert, ziet het er niet alleen goed uit omdat ze foto's hebben gemaakt van een echte rekenmachine, je gebruikt ook het originele ROM.

Dus eventuele bugs in de rekenmachine worden getrouw herhaald in de simulator.

---

DOUG. Wat een tijd om te leven. Onwerkelijk.

---

EEND. 3kHz, ik geloof dat het de CPU-snelheid was. Je kunt 3000 instructies per seconde uitvoeren.

---

DOUG. Verbazingwekkend.

Nou, we hebben een heel moderne... hoe kom ik hier verder? [GELACH]

Van het verre verleden tot het niet zo verre heden, we hebben een Apple-bug dat van invloed is op zijn "Home" -producten.

En dit is een beetje obscuur - is dat een diplomatieke manier om het te zeggen? - maar nog steeds slecht. Soort van…

---

EEND. Ja, het herinnert ons eraan dat er soms Denial of Service-bugs zijn, waarbij onbetrouwbare gegevens worden ingevoerd die ervoor zorgen dat de boeven uw netwerk niet overnemen of spyware op uw...

... Ik zei bijna "op je rekenmachine" [GELACH] - Ik heb een HP-42 rekenprogramma op mijn telefoon, dus het is zowel een rekenmachine als een telefoon.

Je kunt een bug hebben die alleen echt Denial of Service-mogelijkheden biedt, maar als het op het verkeerde moment en op de verkeerde plaats gebeurt, en als het programma dat crasht zegt: “Weet je, dat had niet mogen gebeuren; dat moet eenmalig zijn; Ik zal mezelf opnieuw beginnen en proberen verder te gaan waar ik gebleven was. Oh jee. Raad eens wat er weer is gebeurd. Laat ik mezelf opnieuw beginnen”…

…je komt terecht in deze oneindige lus van een programma dat het eigenlijk zou moeten opgeven om zo veel rekenkracht op te nemen dat je niet bij het menuscherm kunt komen waarmee je het kunt stoppen.

En als u uw telefoon opnieuw opstart, is deze actief voordat u kunt instappen en zegt: "Nee, ik wil niet dat u rent!"

Dat lijkt de aard van deze bug te zijn.

De man die het vond, heet Trevor Spiniolas – ik hoop dat ik dat goed heb uitgesproken – en hij heeft het een schattig klein logo gegeven en een naam met een funky lettertype.

Hij noemde het "doorLock".

En eigenlijk heeft het betrekking op de Home-app.

Dat is de app met een klein pictogram van een huis dat je, als je een Apple-gebruiker bent, meestal gebruikt om je domotica, je IoT-dingen te beheren.

Amazon heeft zijn manier om het te doen; Google heeft zijn manier om het te doen; en Apple heeft iets dat "HomeKit" wordt genoemd.

Je koopt gewoon een apparaat dat HomeKit-compatibel is, en dan kun je het in principe in je domotica-netwerk brengen en je bedient het heel mooi met deze Apple Home-app.

Je kunt al je apparaten betekenisvolle namen geven, zoals fishtank, webcam, babymon, doorbell, wat dan ook.

Maar het blijkt – je kunt wel raden waar dit heen gaat – dat Trevor dat heeft besloten doorbell was niet lang genoeg naam.

Als hij een naam had die 500,000 tekens lang was... nou, ik vraag me af wat er zal gebeuren?

Dus de bug die hij rapporteerde, is dat je deze wijziging zou kunnen aanbrengen met de Home-app, als je maar hard genoeg probeerde.

En toen de Home-app later probeerde de naam van een van deze apparaten weer te geven, zou hij in een knoop raken, om er niet al te fijn op te zeggen.

En je zou de Home-app niet kunnen gebruiken.

Dat is dus al erg genoeg, want nu ben je afgesneden van je HomeKit-netwerk.

Maar erger nog, wat hij beweert, is dat als je het zogenaamde Control Center had ingesteld, je, afhankelijk van je iPhone, ofwel van beneden naar beneden of van boven naar beneden veegt, en er verschijnt een menu met wat je zou kunnen noemen speciale apps die kan over de top van elke andere app komen.

Ik heb het op mijn telefoon - ik gebruik het eigenlijk voor de Torch-app, of de zaklamp zoals jij het noemt.

Dus je veegt omhoog, en je krijgt deze speciale knoppen: je kunt wifi aanzetten; zet Bluetooth aan; zet de fakkel aan; kijk waar je heen gaat.

Maar je kunt ook apps hebben die daar verschijnen, als het apps zijn die je op elk moment wilt hebben.

En Home is duidelijk een van de apps die mensen in de volksmond in dit Control Center stoppen, en het betekent dat wanneer je je telefoon opnieuw opstart, het Control Center zegt: "Hé, wil je al deze controle? Ik start al deze apps op de achtergrond, dus ze zijn slechts één veegbeweging en één tik verwijderd, zelfs als je midden in een andere app zit.'

Heel handig.

Je kunt dus zien waar dit naartoe gaat: je hebt een bug die de Home-app kan bevriezen, maar hij start nu automatisch op de achtergrond wanneer je telefoon opnieuw opstart.

Daarom loopt je telefoon vast en kun je op het punt komen dat er geen tijd is, volgens Trevor, om naar Instellingen> Controlecentrum> Verwijder de Home-app te gaan voordat je telefoon vastloopt tijdens het opnieuw opstarten.

U verliest geen gegevens; je krijgt geen malware op je telefoon; het klinkt niet als het einde van de wereld.

Maar de enige manier waarop Trevor erachter kon komen om uw telefoon op betrouwbare wijze te herstellen, was in feite om de herstelmodus of een directe firmware-update (DFU) te gebruiken.

En de enige manier waarop u dat kunt doen, is als de gegevens eerst worden gewist, en dat is het nadeel hier.

Het betekent dat als iemand je verleidt, "Hé, sluit je aan bij mijn HomeKit-netwerk", en dan hebben ze een van deze absurd genoemde apparaten, je app zal ophangen terwijl hij ernaar kijkt.

En als je pech hebt, kan het zijn dat je je telefoon moet wissen om voldoende controle te krijgen om iets nuttigs met je telefoon te doen.

Dat is een lange manier om te zeggen: "Je moet back-ups maken." [GELACH]

Want dan maakt het niet uit of je je telefoon moet terugzetten naar een bog-standaard firmware zonder data, want je kunt gewoon je back-up terugzetten.

---

DOUG. Je kunt je apparaten ook gewoon niet meer dan bijvoorbeeld 20 tekens noemen, in plaats van 90,000.

---

EEND. Ah. Ik heb begrepen dat dat de reden is waarom deze bug uiteindelijk werd onthuld.

Het lijkt erop dat hij het vorig jaar in augustus aan Apple meldde: "Kijk eens, ik heb dit ding gevonden. Je kunt een apparaatnaam instellen op een waarde die de app vervolgens verslikt wanneer hij deze terugleest.'

De oplossingen zijn dus duidelijk: laat de app geen malafide namen instellen; en laat de app niet stikken in malafide namen.

En voor zover Trevor kon zien, had Apple tegen december 2021 het eerste probleem opgelost.

Ze stopten je met het typen van 90,000 tekens en het instellen van de naam van je HomeKit-apparaat op de rare waarde.

Maar ze hebben de andere kant van de bug niet opgelost, namelijk dat als je al een van die apparaten in je netwerk hebt, of een ondeugende persoon zoals je onbetrouwbare oom die denkt dat hij een hacker is die toegang heeft tot je HomeKit-netwerk... als hij heeft zijn telefoon niet bijgewerkt, hij kan de oude versie gebruiken om de naam te vernietigen, en je bijgewerkte app zal er nog steeds in stikken.

---

DOUG. Aha!

---

EEND. Dus blijkbaar, volgens de onderzoeker, ging hij begin december 2021 naar Apple en zei: "Kijk, het is al eeuwen geleden, het is van augustus. Ik ben van plan dit in januari openbaar te maken, zodat ik mensen advies kan geven over een tijdelijke oplossing. Ik laat het je gewoon weten.”

En je weet hoe Apple is: ze vertellen je pas wat ze doen als ze het hebben gedaan.

Dus januari kwam rond en, terecht of onterecht, ten goede of ten kwade, deed hij de onthulling.

En zijn argument is dat je het net zo goed kunt weten, want Apple heeft maanden de tijd gehad om dit op te lossen.

Ze hebben het eerste deel van het probleem opgelost, maar niet het tweede deel.

En dus zijn er twee manieren waarop je, zonder een superlange naam in je eigen netwerk te zetten, in theorie betrapt zou kunnen worden.

Ik denk dat ze onwaarschijnlijk zijn, dus ik denk niet dat het zo'n groot risico is als de onderzoeker misschien beweert... maar het is de moeite waard om dit te weten.

De eerste is als je iemand anders toegang hebt gegeven tot je HomeKit-netwerk, wat het 21e-eeuwse equivalent is van het geven van een reservesleutel aan je buurman, nietwaar?

Mensen delen de toegang met anderen, en als een van die mensen schurkenstaten wordt of *hun* apparaat wordt gehackt, kunnen ze in theorie je HomeKit-netwerk zo instellen dat wanneer je terugkomt van je vakantie, je telefoon stikt.

En het andere is dat je zou kunnen reageren op wat lijkt op een onschuldige HomeKit-uitnodiging.

Dat is waar je wordt uitgenodigd om lid te worden van het netwerk van iemand anders.

En natuurlijk, zodra je telefoon de absurde HomeKit-apparaatnamen van het andere netwerk ophaalt, stikt je telefoon, maar die van hen niet.

Dus dat is de lange versie van het verhaal.

---

DOUG. Oké, dus zijn er manieren waarop mensen het tweede deel zelf kunnen verzachten?

Moeten mensen zich hier zorgen over maken of zo?

---

EEND. Nou, de voor de hand liggende oplossingen zijn dingen waarvan ik denk dat je ze sowieso zou moeten doen, als het gaat om alles wat met domotica te maken heeft.

Minimaliseer eerst het aantal mensen dat u hebt uitgenodigd om lid te worden van uw HomeKit-netwerk.

Het is eigenlijk net als vroeger, iemand een sleutel van je huis geven: je moet de persoon veel vertrouwen voordat je dat doet.

Dus als je de gewoonte hebt gehad om te zeggen: 'O, nou, ik geef ze geen echte sleutel. Ik kan dit op elk moment intrekken. Het is niet zo dat ik een fysiek slot of iets dergelijks moet gaan veranderen”, knip de lijst met mensen die toegang hebben tot je thuiskit-netwerk.

Dat is hoe dan ook een goed gevoel voor cyberbeveiliging.

En vice versa, uitnodigingen aannemen om voor het HomeKit-netwerk van iemand anders te zorgen: behandel dat met de verantwoordelijkheid die het verdient.

Doe het niet zomaar.

Misschien is dat eigenlijk een uitnodiging die je alleen wilt aannemen als je de persoon veel kent en vertrouwt.

Minimaliseer dus de lijst met thuisnetwerken waarmee u verbinding kunt maken.

En het andere dat je meteen kunt doen, ervan uitgaande dat je hier niet door bent getroffen, en totdat Apple een oplossing heeft, is dit.

Als je de Home-app uit het Control Center verwijdert, wordt de app alleen expliciet gestart wanneer jij dat wilt.

Zo heb je altijd de kans om weer in je telefoon te kruipen als er iets misgaat.

En tot slot, zoals we bovenaan dit item al zeiden, maak een back-up van uw iPhone-gegevens.

Maak niet alleen een back-up in iCloud - dat betekent vrijwel dat u zich moet aanmelden bij uw Apple-account om het te kunnen herstellen.

Je kunt ook lokale back-ups maken, bijvoorbeeld op versleutelde verwisselbare schijven, en dan kun je gemakkelijk je eigen offline, off-site back-up houden, voor het geval er iets ergs gebeurt, zoals je telefoon kwijtraken of deze kapot gaat bij een ongeluk , of u kunt gewoon niet bij uw gegevens komen.

Het hebben van uw eigen lokale exemplaar is een geweldig idee.

Je kunt het doen met iTunes, op Mac of Windows, en als je Linux hebt, is het nog makkelijker: er is een app genaamd idevicebackup2.

Als je ooit je gegevens in een noodgeval moet herstellen, heb je geen Apple-apparaat nodig en hoef je niet in te loggen op een online account.

Dus dat is mijn advies.

---

DOUG. OK, dat is Apple Home-softwarefout kan je buitensluiten van je iPhone op nakedsecurity.sophos.com.

En het is die tijd van de show voor de Oh! Nee! van de week.

Reddit-gebruiker Xanthian schrijft ...

Ik kreeg een telefoontje van een gebruiker die MFA - multifactor-authenticatie - nodig had op hun e-mail.

Nadat ik hun Authenticator-app had ingesteld, moest ik uitleggen hoe ik deze moest gebruiken.

Dus deze code op je telefoon wordt elke 30 seconden vernieuwd, en je voert gewoon die code in en hij vraagt ​​erom wanneer je je aanmeldt bij je e-mail.

"Ik snap het. Laat ik dit even opschrijven.”

U hoeft het niet op te schrijven - de code staat gewoon op uw telefoon. U kunt het invoeren wanneer u het nodig heeft.

'Oké, het lijkt erop dat er een nieuwe code is. Laat ik deze even opschrijven.”

Ja, de code wordt elke 30 seconden vernieuwd - je hoeft alleen maar in te voeren wat het je laat zien wanneer je probeert in te loggen.

'Oké, er is er nog een. Ik ga dit heel snel opschrijven.”

Ja, het zal elke keer dat je het gebruikt veranderen - je zult niet in staat zijn om het de juiste code op te schrijven.

“Hoe moet ik mijn code onthouden als deze elke keer verandert? jullie mensen denken nooit over deze dingen na!”

Hij kwam er uiteindelijk achter.

De geneugten van de eerste MFA-gebruiker met de steeds veranderende codes, die proberen deze ingeplugd te krijgen, of in dit geval opgeschreven, voordat het verandert.

---

EEND. Het laat zien dat de boodschap over het niet opschrijven van wachtwoorden op PostIt-briefjes niet was doorgedrongen! [GELACH]

Precies datgene dat 2FA, met steeds veranderende codes, ons moest helpen oplossen.

Maar ik zie het idee: hij wil ervoor zorgen dat hij niet betrapt wordt als hij zijn telefoon niet heeft.

Dat is, denk ik, de weerstand die veel mensen hebben tegen dat soort 2FA, nietwaar?

Mensen zeggen: "Wat als ik mijn telefoon achterlaat? Wat moet ik doen als ik me aansluit bij het verkeerde HomeKit-netwerk? [GELACH]

Welnu, het antwoord is dat u voor de meeste programma's die zo werken, tien speciale eenmalige codes kunt afdrukken die u voor het geval dat vergrendelt.

Maar je moet ze wel opsluiten, want het zijn de sleutels van het kasteel.

---

DOUG. Nou, we zullen allemaal veel veiliger zijn als iedereen erachter komt!

Als u een Oh! Nee! die je wilt inzenden, lezen we die graag in de podcast.

U kunt tips@sophos.com e-mailen; u kunt reageren op een van onze artikelen; of bel ons op social @NakedSecurity.

Dat is onze show voor vandaag.

Heel erg bedankt voor het luisteren.

Voor Paul Ducklin. Ik ben Doug Aamoth, ik herinner je eraan tot de volgende keer, om...

---

BEIDE. Blijf veilig!

[MUZIEK MODEM]