This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Violação da Apple pior segurança, ou um exagero enorme?

Filed Under: Apple, Privacy, Vulnerability

De acordo com o site de gawker.com apropriadamente chamado choque de fofocas, a Apple acaba de sofrer sua pior violação de segurança. Ao lado de um artigo intitulado intitulado "Video Banker Hottie de Implante Boob:" I Want to Be Tits on a Stick ", pode ler como essa" violação de segurança pior "envolve "114.000 donos de iPad expostas" .

O artigo continua a sugerir que "chefe da Casa Branca de informações Rahm Emanuel estava comprometida", e oferece a opinião de que "acreditamos 114.000 contas de usuários foram comprometidos, embora seja possível que a informação confidencial sobre cada proprietário iPad 3G em os EUA têm foi exposto. "

Mentes mais sábias - neste caso, o companheiro Sophos technoblogger Chet Wisniewski, em uma entrevista que ele me deu - têm uma visão muito mais circunspecto.

Aparentemente, a violação foi o resultado de uma vulnerabilidade de aplicações web em um site da AT & T. Isto permitiu um descontente adivinhar um AT & T cartão SIM identificador (o chamado ICC-ID ) e - se o ICC-ID foi emitido para um iPad - para usá-lo para recuperar o endereço de e-mail do iTunes conta associada com o dispositivo .

Isso não é bom. Aplicações web falhas que permitem o vazamento de dados estão errados, e precisa ser corrigido. (Aparentemente, a AT & T fez exatamente isso. Este bug não pode mais ser explorada.) Endereços de e-mail não constituem informação pessoal, e merecem ser tratados com a mesma deferência como informações que não usam rotineiramente na internet aberta, como a sua casa endereço.

Mas o seu endereço de e-mail é revelado na internet cada vez que você usá-lo para enviar e-mail. Ele aparece no MAIL FROM: parte do SMTP envelope em que a sua mensagem é transmitida, e na seção de cabeçalho da parte de dados da conversa SMTP. O cliente de e-mail que você está usando pode ser revelado nos cabeçalhos também, que muitas vezes sugere fortemente que hardware é enviado a partir. Você pode suprimir ou falsificar o seu endereço de e-mail, é claro. Mas esperar para ser bloqueado por filtros de spam se você, e não esperar qualquer resposta.

Então, essa história é uma hipérbole bem grande, e enganosa para arrancar.

Em primeiro lugar, embora a Apple estão intimamente envolvidos na questão, uma vez que escolhemos fazer parceria com a AT & T para SIMs iPad, a violação de segurança não é dentro da Apple em si, ou no iPad.

Em segundo lugar, a alegação de que informações confidenciais sobre cada proprietário iPad dos EUA pode ter sido exposto é sensacionalista, uma vez que é pouco provável, ainda em tempo wastingly difícil de refutar.

Em terceiro lugar, os endereços de e-mail são revelados publicamente sempre que eles são usados, portanto, enquanto esta violação é grave por ter ocorrido, não parece haver qualquer risco para a segurança nacional, que surge como resultado, se funcionários da Casa Branca estavam envolvidos ou não. Em quarto lugar, os auto-intitulados "hackers" que recuperaram os dados afirmam ter feito isso deliberadamente e repetidamente provocando o bug site da AT & T, a fim de recuperar dados que eles sabiam que não deveria estar vendo. Repetidamente, ao que parece, da ordem de 114 mil vezes. Se assim for, que faz com que os cibercriminosos não, hackers.

O problema com notícias de segurança exagerada choque fofocas como este é exatamente o problema colocado por The Boy Who Cried Wolf . Dá a indústria de segurança de um mau nome, e faz os leitores céticos quando questões de interesse genuíno surgir.

Isto não é TEOTWAWKI [*].

Atenciosamente,

VORIWOGOM [†].

*: TEOTWAWKI. O fim do mundo como nós o conhecemos. [Tay-oh-twow'-chave].

†: VORIWOGOM. Voz da razão no mundo enlouquecido. [Vorry wogg'-hum].

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog