This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

苹果最糟糕的安全漏洞,或一个大的夸张?

Filed Under: Apple, Privacy, Vulnerability

据恰当地命名的冲击八卦网站gawker.com的,苹果刚刚遭受了最严重的安全漏洞。除了 ​​一个标题是文章,题为“棘手庄家的的布布植入视频:”我想成为“棍子上的奶,你可以阅读这个”最严重的安全漏洞“,包括“114,000 iPad的业主暴露”

文章建议,“白屋行政长官会同政治工作拉姆·伊曼纽尔的信息是妥协”,提供的意见说:“我们相信,114,000用户账户已经被损害,虽然它是可能的,保密信息大约每iPad的3G所有者在美国有被暴露出来。“

- 在这种情况下,明智的头脑,同Sophos的technoblogger切特Wisniewski律师,他只是给了我一个简报 - 有更周到的。

很显然,违约的AT&T网站上的Web应用程序脆弱性的结果。这允许不满者,以猜测在AT&T的SIM卡识别码(在所谓的ICC-ID ) -如果在ICC-ID是发出一个iPad -到使用它来 ​​检索的电子邮件地址的iTunes账户相关联的设备。

这是不好的。有缺陷的Web应用程序,它允许数据泄漏是错误的,需要加以固定。 (显然,AT&T做只是这个。这个错误可以不再被剥削。)电子邮件地址不构成个人身份识别信息,并值得到被处理的同样的尊重的信息你你不经常使用开放的互联网,如您的家庭地址。

但您的电子邮件地址显示在互联网上,每次你用它来发送电子邮件。它出现在MAIL FROM:在您的邮件发送SMTP信封的一部分,在SMTP会话的数据部分的标头部分。你正在使用的电子邮件客户端可能会发现在头,,往往强烈建议什么样的硬件,你把它。您可以抑制或欺骗您的e-mail地址,当然。但预计将阻止垃圾邮件过滤器,如果你这样做了,不期望任何答复。

因此,这个故事是一个大的夸张,误导启动的。

首先,尽管苹果有着千丝万缕的参与的问题,因为他们选择的合作伙伴AT&T为iPad SIM卡,安全漏洞是苹果内部本身,或在iPad上。

其次,是耸人听闻的说法,有关每一个美国的iPad拥有者的机密信息可能已经暴露,因为它是不可能的,,但时间wastingly硬反驳。

第三,公开时,他们使用的电子邮件地址,所以虽然发生违规情况严重,似乎没有任何国家的安全风险而产生的结果,无论是白宫工作人员或不参与。第四,自称为“黑客”们恢复了数据,声称这样做的故意,并多次引发了AT&T的网站以检索数据,他们知道他们不应该看到的错误。反反复复,看来,要调的114,000倍。如果是这样,这使得他们的网络罪犯 ,不是黑客。

的问题夸大了冲击八卦的安全性这样的消息是准确的狼来了,带来的问题。它给安防行业的一个不好的名字,使读者怀疑,当出现真正关心的问题。

这是不TEOTWAWKI [*]。

此致,

VORIWOGOM [†]。

*:TEOTWAWKI。年底的世界,因为我们知道它。 [泰-OH-twow'的键。

†:VORIWOGOM。理智的声音在世界疯了。 [vorry-wogg'微米。

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog