En allvarlig sårbarhet har hittats i Bluetooth. Hotar det iPhones och iPads?

 En allvarlig sårbarhet har hittats i Bluetooth.  Hotar det iPhones och iPads?

Bluetooth SIG, det icke-vinstdrivande f√∂retaget som g√•r i spetsen f√∂r utvecklingen och licensieringen av Bluetooth, har publicerat en rapport om ny s√•rbarhetsom avsl√∂jades i Bluetooth-versionerna 4.0 till 5.0. S√•rbarheten g√∂r att cyberbrottslingar kan inleda en s√• kallad “mellanhandsattack” mot anv√§ndarenheter. En m√§ngd olika produkter fr√•n m√•nga f√∂retag, inklusive enheter fr√•n Apple, var i riskzonen. Hur skyddar du dig fr√•n denna olycka? Introducera l√•sningsl√§ge: st√§nga av Bluetooth, sl√§ppa AirPods genom att l√•sa in dem i ett kassask√•p?

Hotar Bluetooth-sårbarhet Apple-enheter?

Det är möjligt, men att döma av den ytliga beskrivningen av sårbarheten i Bluetooth SIG-meddelandet är sannolikheten att Apple-produkter kommer att påverkas av denna sårbarhet försvinnande liten. När det kommer till Bluetooth-kommunikation mellan enheter är Apples programvara maniskt att vara försiktig. Kryphålen som beskrivs i meddelandena har redan stängts hos Apple, för säkerhets skull. Andra säkerhetsåtgärder (sandboxning, smart kryptering och mer) gör Apple ännu mer osårbar.

Men ändå, absolut fullständig osårbarhet existerar inte, och jag är säker på att Apple kommer att betala för fullständig och detaljerad information om denna sårbarhet, och, om det behövs, omedelbart kommer att göra nödvändiga ändringar i säkerhetssystemet för sina operativsystem. Och det kommer att göra ändringarna tillgängliga, i en eller annan form, om inte obligatoriska. Apple gör detta regelbundet. I alla fall, i äpplets ekosystem är den nya sårbarheten mindre farlig än på andra plattformar.

Kan Bluetooth hackas?

Inget hemskt har h√§nt √§nnu. Om s√§kerhetsbristen i Bluetooth i dessa versioner inte hade identifierats av forskare, skulle den en dag kunna utnyttjas med upps√•t. Om vi ‚Äč‚Äčvet hur vi ska √•terskapa det har vi n√§stan besegrat det. Resten √§r en fr√•ga om teknik. Endast i Bluetooth, och bara under de senaste tv√• √•ren, har tre s√•rbarheter redan identifierats och neutraliserats. Detta √§r den fj√§rde. En patch som neutraliserar detta fel kommer snart att dyka upp i nya versioner eller i s√§kerhetsuppdateringar i operativsystem och firmware. Luckor och buggar som √§nnu inte har identifierats (och det √§r de f√∂rmodligen) √§r mycket farligare. Det finns bara ett s√§tt att garantera skydd mot dem ‚Äď att inte anv√§nda teknik, men det kan vi inte l√§ngre.

Sårbarheten identifierades av två universitetsteam. Och de kommer att behöva dela avgiften på hälften. Apple kommer inte att betala dem, och de är förmodligen upprörda, eftersom Apple betalar mycket för sådana meddelanden. På grund av det faktum att viktkategorierna för sårbarhetsjägare och jätteföretag, i vars verk de letar efter problem, inte är exakt desamma, har allt hänt de senaste åren.

Hur man tjänar pengar på Apple-buggar

H√∂sten 2016 lanserade Apple sitt eget program som heter bug bounty ‚Äď f√∂retaget lovade att betala bel√∂ningar p√• upp till $200 000 till de som hittar kritiska buggar i iOS. Fr√•n och med 2019 kommer alla s√§kerhetsforskare som hittar buggar i iOS, macOS, tvOS, watchOS eller iCloud att vara ber√§ttigade att ta emot kontantbetalningar f√∂r att avsl√∂ja s√•rbarheten f√∂r Apple.

Apple ökade också sin maximala belöning från 200 000 $ per exploatering upp till 1 miljon dollar beroende på vilken typ av säkerhetsrisk. Detta är dock inte den maximala belöningen: Zerodium, till exempel, erbjuder belöningar på upp till 1,5 miljoner dollar, Exodus Рupp till en halv miljon dollar. Skulle du delta? Berätta för oss i vår Telegram-chatt.

Ingen gillar att betala, speciellt när det är möjligt att inte betala. Jägarna (människor som är exceptionellt bra på att tänka) har kommit på ett upplägg som starkt påminner om utpressning Рde ger företaget ett par detaljer om felet de upptäckte. I händelse av att företaget ignorerar denna information lovar de att publicera detaljer om detta fel. Ett avtal tecknas mellan företaget och ett gäng förmätet grodyngel, som definierar parternas ansvar: vissa tillhandahåller detaljerad information, andra, naturligtvis, efter att ha kontrollerat det, betalar det överenskomna beloppet.

Vi föreslår att du prenumererar på vår kanal i Yandex.Zen. Där kan du hitta exklusiva material som inte finns på sajten.

I de flesta stater anses denna praxis vara laglig. Med största sannolikhet kommer Special Interest Group att göra det lättare för universitetslag att få välförtjänta royalties från företag som kan drabbas av antingen sårbarhet eller sin egen girighet. Vem och hur mycket någon betalat för arbetet avslöjas vanligtvis inte. Vi kommer inte att veta det exakta avgiftsbeloppet.