- Zimmerman
- Avstängd ●
- Stockholm
Kan du berätta - så enkelt som möjligt - hur det går till när man tar över en iPhone via WiFi eller vad det nu är...det där som det skrivs om och Rapport nu uppmärksammat. Jag vill försöka förstå. Eller någon annan som vet och är pedagogisk?
Trevligt att media uppmärksammar brister i iOS - Safari är den enda browser som vilken script-kiddie kan hacka på 3 sekunder oavsett om den körs under OSX eller iOS. Google Chrome har ingen lyckats hacka ännu.
Apple är, som vi med lite mer erfarenhet och lite lika blinda vet sämst på att täppa till säkerhetshål. Desto mer större media rapporterar om det desto större chans att något händer.
Kan du berätta - så enkelt som möjligt - hur det går till när man tar över en iPhone via WiFi eller vad det nu är...det där som det skrivs om och Rapport nu uppmärksammat. Jag vill försöka förstå. Eller någon annan som vet och är pedagogisk?
Ett exempel ur det refererade dokumentet:
In addition to privacy leakage, unencrypted network channels are also susceptible to decloaking attacks. Consider the situation where the victim is using a wireless hotspot at a Starbucks. A malicious entity can easily perform a Man in the Middle attack (or alternatively, setup a fake access point and lure the victim to attach to it) and inject the following HTML in the response stream:
<iframe src=”fb://profile/”></iframe>
...
Based on our discussion of how iOS handles URLSchemes, the iframe will cause the victim to be yanked out of his or her Safari browsing session onto his or her own profile on the Facebook app. Since the Facebook app does not use SSL, the malicious entity will be able to capture the victim’s real identity and contents of the victim’s Facebook wall
Alltså, man utnyttjar URL-schema och en svaghet i Facebook-appens säkerhet. Den som utför attacken har redan kontroll över din nätverkstrafik och eftersom facebook-appens trafik är okrypterad så kan de se din facebook-sida!!
Vilket inte är samma sak som att "ta över din iPhone".
Jag tycker det är bra då man belyser svagheter i iOS och dess appar, men gillar inte då man kommer med svepande generaliseringar utan källhänvisningar.
Tack. Så hackaren kan alltså se min Facebook-sida? Är det allt?
Kan man också "se" när jag loggar in på Banken och spara mina inloggningsuppgifter? Nu spelar det ju i.o.f.s. ingen roll då man bara kan föra över pengar mellan egna konton och läsa kontoläget med denna typ av inloggning :-D. Vill man logga in "på riktigt" på Swedbank så måste man ha en dator och en dosa.
Men...PayPal! Kan dom "läsa av" Safari när jag loggar in på PayPal?
Ett exempel ur det refererade dokumentet:
Alltså, man utnyttjar URL-schema och en svaghet i Facebook-appens säkerhet. Den som utför attacken har redan kontroll över din nätverkstrafik och eftersom facebook-appens trafik är okrypterad så kan de se din facebook-sida!!
Vilket inte är samma sak som att "ta över din iPhone".
Jag tycker det är bra då man belyser svagheter i iOS och dess appar, men gillar inte då man kommer med svepande generaliseringar utan källhänvisningar.
Tack. Så hackaren kan alltså se min Facebook-sida? Är det allt?
Nja, hackaren kan utnyttja andra appar med svag säkerhet på liknande sätt. Att det går att göra en tredjeparts-app med svag säkerhet är inte unikt för iOS.
Kan man också "se" när jag loggar in på Banken och spara mina inloggningsuppgifter?
...
Kan dom "läsa av" Safari när jag loggar in på PayPal?
Dessa typer av sajter med webaccess bör använda krypterad förbindelse. (Annars bör du byta bank.)
Det finns en rad sätt man kan lura folk som använder nätbanker, men då kommer vi in på generella problem som inte är iOS-specifika...
Tack. Så hackaren kan alltså se min Facebook-sida? Är det allt?
Kan man också "se" när jag loggar in på Banken och spara mina inloggningsuppgifter? Nu spelar det ju i.o.f.s. ingen roll då man bara kan föra över pengar mellan egna konton och läsa kontoläget med denna typ av inloggning :-D. Vill man logga in "på riktigt" på Swedbank så måste man ha en dator och en dosa.
Men...PayPal! Kan dom "läsa av" Safari när jag loggar in på PayPal?
Oj vad du har fel!
Swedbank kan du föra över pengar genom att BARA KÄNNA TILL lösenord och personnummer. Det kallas EKORT och skall vara säkert ( https://ekort.swedbank.se )
Oj vad du har fel!
Swedbank kan du föra över pengar genom att BARA KÄNNA TILL lösenord och personnummer. Det kallas EKORT och skall vara säkert ( https://ekort.swedbank.se )
Fungerar det med mini-SIMet? Jag har en kompis som hade det där och han fick problem med sin Iphone4 eftersom bankID:et inte gick att kombinera med miniSIM:et. Är det fortfarande ett problem?
Jo, jag känner till den lösningen - men den är ju inte aktuell i detta fall angående hacket vi diskuterar. Den lösningen har ju nästan ingen dödlig medborgare.
Förresten...har inte ekort bara med betalning att göra? När man handlar på nätet?
Oj vad du har fel!
Swedbank kan du föra över pengar genom att BARA KÄNNA TILL lösenord och personnummer. Det kallas EKORT och skall vara säkert ( https://ekort.swedbank.se )
Vilket inte är samma sak som att "ta över din iPhone".
Jag tycker det är bra då man belyser svagheter i iOS och dess appar, men gillar inte då man kommer med svepande generaliseringar utan källhänvisningar.
Sant. Ibland får man intrycket av att någon ska hacka din telefon, sno dina pengar via din internetbank, skicka grovt pornografiska bilder till dina medarbetare och dina barns lärare samt ringa upp din mamma, låtsas vara du och be henne dra åt helvete.
Det finns svagheter i alla system överallt och där man inte har hittat några har man bara inte letat tillräckligt. Sen kommer det ju lite rapporter lite här och där om olika systems säkerhetsbrister och det är väl kanske lite mycket begärt av journalistkåren att vid varje tillfälle sakligt jämföra med konkurrerande system.
Det är ju konstigt att komma med något som man hävdar är sanning om man sedan inte kan leverera källa, eller hur? Det får ju de som kritiskt läser det du skriver att inte fästa någon vikt vid det du säger...det du påstår är kanske inte allmän vetskap
För övrigt, jag har inte varit del av denna diskussionen utan endast iakttagit det ni skrivit men jag känner att tonen som många använder kanske kunde vara lite bättre, det känns väldigt irriterat här.
Det är ju konstigt att komma med något som man hävdar är sanning om man sedan inte kan leverera källa, eller hur? Det får ju de som kritiskt läser det du skriver att inte fästa någon vikt vid det du säger...det du påstår är kanske inte allmän vetskap
För övrigt, jag har inte varit del av denna diskussionen utan endast iakttagit det ni skrivit men jag känner att tonen som många använder kanske kunde vara lite bättre, det känns väldigt irriterat här.
Källan finns klar och tydlig, Sveriges Television samt TV4 AB.
Källan finns klar och tydlig, Sveriges Television samt TV4 AB.
Ok, ungefär som att sätta "Stadsbiblioteket" i en källförteckning.
Men, skämt åsido... Som jag redan skrivit i tråden så tar jag inte ställning varken för eller emot kritiken mot Rapport. Men jag anser ändå att om någon hävdar att Android och Symbian tidigare har fått motsvarande kritik som iOS, så måste man kunna backa upp det med källor. Och då inte bara "SVT och TV4" - det räcker liksom inte.
Just nu har vi bara ditt ord på att det någon gång förekommit någon form av kritik mot Android och Symbian i SVT och TV4. Vi kanske själva vill värdera den kritiken, för att kunna jämföra med den här Apple-kritiken.
Jag kommer osökt att tänka på "säkerhetsexperten" som för några månader "visade" hur enkelt man hackar en iPhone. Vi har ju sedan dess sett mängder av artiklar om oskyldiga som hackats och fått sina bankkonton länsade. Jag har klarat mig bra själv dock, har plockar ur sim-kortet, stängt av bluetooth och wifi, tejpat för skärmen och dränerat batteriet. Känner mig helt trygg!
Jag personligen tycker att det är journalistens ansvar att kolla upp om dessa brister även drabbar andra märken och likvärdig utrustning, på så vis blir journalistens arbete trovärdig, men SVT:s journalist var långtifrån trovärdig när denne inte kollade upp om andra likartade produkter har samma brister… Hittar man något intressant, ta in en objektiv säkerhetsexpert för intervju…
t.ex. hittar man säkerhetsbrister (ex. fejkad basstation) iPad 2, bör man även automatiskt kolla upp andra märkens dito.
Jag kommer osökt att tänka på "säkerhetsexperten" som för några månader "visade" hur enkelt man hackar en iPhone. Vi har ju sedan dess sett mängder av artiklar om oskyldiga som hackats och fått sina bankkonton länsade. Jag har klarat mig bra själv dock, har plockar ur sim-kortet, stängt av bluetooth och wifi, tejpat för skärmen och dränerat batteriet. Känner mig helt trygg!
Suck, om det är enkelt eller inte spelar ingen roll. Bara för att inte ALLA iPhones blir hackade innebär det inte att du är säker. Det räcker med att en person som har access till känslig information eller dyl. Se på HBGary-hacket, killen var lite kaxig, blev hackad och massor av känslig information släpptes på TPB.
Jag personligen tycker att det är journalistens ansvar att kolla upp om dessa brister även drabbar andra märken och likvärdig utrustning, på så vis blir journalistens arbete trovärdig, men SVT:s journalist var långtifrån trovärdig när denne inte kollade upp om andra likartade produkter har samma brister… Hittar man något intressant, ta in en objektiv säkerhetsexpert för intervju…
t.ex. hittar man säkerhetsbrister (ex. fejkad basstation) iPad 2, bör man även automatiskt kolla upp andra märkens dito.
Det skulle bli ohållbart, jag kan hålla med dig om det handlar om ett test. Men detta är enbart en "nyhet" och då kan man inte förvänta sig en 20 sidors pdf där de testat varenda mobil i världen.
Hjälper föga när säkerhetshålen sitter i Safari.
Ett företag (Apple) som marknadsför sig som att ha "säkra" produkter där användarna inte behöver oroa sig för virus och annan skadlig kod kanske får tåla att granskas lite hårdare?
Sen är det bara att inse att helt sakliga reportage som belyser alla vinklar inte existerar. Jag menar hur intressant vore det att man först påpekar brister i iOS och sedan går igenom brister hos alla andra stora operativsystem. Ett sånt reportage hade ju tagit en halvtimme. Vi vanliga dödliga vill ha korta kritiska sensationsnyheter som målar upp en gemensam fiende att hata under de 2 minuter långa reportaget.
Vi vanliga dödliga vill ha korta kritiska sensationsnyheter som målar upp en gemensam fiende att hata under de 2 minuter långa reportaget.
Njae, de flesta dödliga föraktar nog den typen av "nyheter".
Ett företag (Apple) som marknadsför sig som att ha "säkra" produkter där användarna inte behöver oroa sig för virus och annan skadlig kod kanske får tåla att granskas lite hårdare?
Jag kan inte minnas att jag har hört eller sett något i marknadsföringsväg beträffande säkerhet i iOS, mer än det som står att läsa här: Apple - iPhone - iOS 4 är världens mest avancerade mobiloperativsystem (skärmdump bifogad). Jag kan inte värdera sanningshalten i informationen. Det står ju här att program körs i en säker miljö så att en webbplats eller ett program inte kan få tillgång till andra program. Av det som skrivits i tråden drar jag slutsatsen att de finns de som påstår motsatsen.
Och de produkter som Apple framförallt marknadsför som "säkra" är ju de som kör Mac OS X, vilka också är säkra i jämförelse med Windows.
Jag kan inte minnas att jag har hört eller sett något i marknadsföringsväg beträffande säkerhet i iOS, mer än det som står att läsa här: Apple - iPhone - iOS 4 är världens mest avancerade mobiloperativsystem (skärmdump bifogad). Jag kan inte värdera sanningshalten i informationen. Det står ju här att program körs i en säker miljö så att en webbplats eller ett program inte kan få tillgång till andra program.Av det som skrivits i tråden drar jag slutsatsen att de finns de som påstår motsatsen.
Och de produkter som Apple framförallt marknadsför som "säkra" är ju de som kör Mac OS X, vilka också är säkra i jämförelse med Windows.
[ATTACH="CONFIG"]28948[/ATTACH]
Tror du kan revidera "påstår" till "bevisat"
Jag sågar rapport istället.
Struwe skulle jag inte pissa på ens om han brann med öppen blå låga.
Han har tidigare raggat tag i "skandalgrejer" runt iPhones, känns la som en sisådär seriös kille.
Jo, men nog skulle du hälla en hink med vatten på honom? I rent humanitärt syfte?
Nu skall vi se, jag kritiserade Rapport för att jag tycker dom är osakliga i sin rapportering av detta. Jag försvarade automatiskt inte iOS i och med det.
Det inslag jag såg var på TV (inte någon webbartikel). Dom hade stora rubriker om hur osäkert och sårbart iOS och iPhone var. Endast i förbigående nämndes att du var tvungen att ha någon av de appar som har detta problem samt att du måste surfa till en särskild webbsida som utnyttjar detta säkerhetshål (det var ett liknande händelseförlopp som gällde för det andra problemet som Rapport "avslöjade" i höstas) för att din telefon skall kunna drabbas.
Jag anser att det Rapport gör är att skapa en oro och osäkerhet i onödan hos användare som inte kan det tekniska bakom. I förlängningen skapar sådant rykten och missuppfattningar som sedan blir "sanningar". Sådant har vi i Macvärlden brottats mot under många år, det finns inga program till Mac, du kan inte koppla in en Mac i ett nätverk med PC/windows osv.
Windows har massor med virus och säkerhetshål, det har varit stora attacker mot windows som kostat miljoner om inte miljarder av kronor för företagen i sverige, men jag har aldrig sett så svarta rubriker mot windows ens då, som mot iPhone nu. I stället har rapporteringen då varit om konsekvensen och de som skapat virusattackerna, inte det dåliga säkerhetsarbetet från Microsofts sida. Samma med Android, man går på de som utnyttjar säkerhetsbristen, inte den som öppnat för möjligheten, Google.
Nu skall vi se, jag kritiserade Rapport för att jag tycker dom är osakliga i sin rapportering av detta. Jag försvarade automatiskt inte iOS i och med det.
Det inslag jag såg var på TV (inte någon webbartikel). Dom hade stora rubriker om hur osäkert och sårbart iOS och iPhone var. Endast i förbigående nämndes att du var tvungen att ha någon av de appar som har detta problem samt att du måste surfa till en särskild webbsida som utnyttjar detta säkerhetshål (det var ett liknande händelseförlopp som gällde för det andra problemet som Rapport "avslöjade" i höstas) för att din telefon skall kunna drabbas.
Jag anser att det Rapport gör är att skapa en oro och osäkerhet i onödan hos användare som inte kan det tekniska bakom. I förlängningen skapar sådant rykten och missuppfattningar som sedan blir "sanningar". Sådant har vi i Macvärlden brottats mot under många år, det finns inga program till Mac, du kan inte koppla in en Mac i ett nätverk med PC/windows osv.
Windows har massor med virus och säkerhetshål, det har varit stora attacker mot windows som kostat miljoner om inte miljarder av kronor för företagen i sverige, men jag har aldrig sett så svarta rubriker mot windows ens då, som mot iPhone nu. I stället har rapporteringen då varit om konsekvensen och de som skapat virusattackerna, inte det dåliga säkerhetsarbetet från Microsofts sida. Samma med Android, man går på de som utnyttjar säkerhetsbristen, inte den som öppnat för möjligheten, Google.
Du måste skämta?
Lämnar du aldrig din mac-bubbla?
Microsoft får KONSTANT skit för att de har haft dålig säkerhet i sitt OS.
Citerar dessutom Charlie Miller:
Please compare the quality of code you have reversed in OSX vs. other platforms in terms of security. Does Apple pay more/equal/less attention to secure software development when compared to other vendors?
I think Apple code used to be quite a bit worse than, say, MS code, although this is a very difficult thing to measure. MS started trying to write secure code back in 2003, while Apple only recently found religion. However, I’ve noticed some improvements lately in Apple, so this divide may not be as large as it used to be. For example, I’ve known a few very serious flaws in OS X for over a year. I’ve noticed that a large number of them are going to be patched in the next version 10.6.7 that comes out, so Apple is starting to secure up their code I think, which is awesome.
Nu skall vi se, jag kritiserade Rapport för att jag tycker dom är osakliga i sin rapportering av detta. Jag försvarade automatiskt inte iOS i och med det.
Det inslag jag såg var på TV (inte någon webbartikel). Dom hade stora rubriker om hur osäkert och sårbart iOS och iPhone var. Endast i förbigående nämndes att du var tvungen att ha någon av de appar som har detta problem samt att du måste surfa till en särskild webbsida som utnyttjar detta säkerhetshål (det var ett liknande händelseförlopp som gällde för det andra problemet som Rapport "avslöjade" i höstas) för att din telefon skall kunna drabbas.
Jag anser att det Rapport gör är att skapa en oro och osäkerhet i onödan hos användare som inte kan det tekniska bakom. I förlängningen skapar sådant rykten och missuppfattningar som sedan blir "sanningar". Sådant har vi i Macvärlden brottats mot under många år, det finns inga program till Mac, du kan inte koppla in en Mac i ett nätverk med PC/windows osv.
Windows har massor med virus och säkerhetshål, det har varit stora attacker mot windows som kostat miljoner om inte miljarder av kronor för företagen i sverige, men jag har aldrig sett så svarta rubriker mot windows ens då, som mot iPhone nu. I stället har rapporteringen då varit om konsekvensen och de som skapat virusattackerna, inte det dåliga säkerhetsarbetet från Microsofts sida. Samma med Android, man går på de som utnyttjar säkerhetsbristen, inte den som öppnat för möjligheten, Google.
Rapport har ingen skyldighet att varje gång man nämner Apple ge en hel bild av företagets produkter, lika lite som det gäller något annat företags.
Just den här gången kan man utifrån en normal redaktionell bedömning redovisa att det finns ett problem med iOS alldeles oavsett hur man tidigare har bevakat Apple. Man kan inte varje gång säga hur förträffliga produkterna är när man tar upp en brist, varje "nyhet" ska stå på egna ben. Det som behöver förklaras för att göra nyheten begriplig ska förstås med, men hur ingående avgörs av målgruppens förväntade förkunskaper.
Jag måste hålla med zappee, få produkter har (rätteligen?) svartmålats som Windows. Googla på nytt virus dator så får man en snabb bild av hur mycket Windows säkerhetsluckor har mörkats, dvs inte speciellt mycket.
Man ser inte så mycket i artiklarna om Windows säkerhetsluckor om hur bra windows är på annat, och det tycker jag heller inte att man ska.
Jag anser att det Rapport gör är att skapa en oro och osäkerhet i onödan hos användare som inte kan det tekniska bakom. I förlängningen skapar sådant rykten och missuppfattningar som sedan blir "sanningar".
Detta är det stora felet som jag ser det. Om någon hacker som har kunskap om att utföra, och möjlighet att iscensätta en sådan attack måste ju payoffen vara ganska stor för att det ska vara värt besväret. Inte något så simpelt som identitetsstöld eller liknande. Det finns mycket enklare sätt att göra det på. D.V.S. man ska sitta på dyr/åtråvärd information för att man ska behöva oroa/skydda sig specifikt mot denna sorts attack. Eller?
Om det inte är en reell risk för den vanliga användaren att utsättas för en sådan attack är det oskäligt och spekulativt att rapportera om det med braskande rubriker. Precis som jag stark ogillar hur nyhetsmedier frossar i grova brott och straff när det är en så marginell företeelse i samhället...