Haga clic y arrastre en las ondas sonoras de abajo para saltar a cualquier punto. Tú también puedes escuchar directamente en Soundcloud.

---

DOUG. Log4Shell: No ha terminado hasta que se acabe.

Estafas de Instagram. Y Bichos de manzana.

Todo eso, y más, en el podcast de Naked Security.

[MÓDEM MUSICAL]

Bienvenidos todos al podcast.

Veamos si todavía recuerdo cómo hacer esto, ya que he estado fuera durante dos semanas.

Paul, veo que has estado trabajando lejos y has saltó sobre las Lista de los peores incidentes del año vagón, pero de una manera mucho más productiva y aleatoria.

---

PATO. [RISAS] Gracias, Doug.

Pensé que ibas a ser cruel y decir, "Ohhhhh, nos acabas de dar tu lista Top N" ... ¡entonces fuiste muy amable al respecto!

Decidí llamar mía Las principales N historias de ciberseguridad de 2021 para valores enteros positivos pequeños de N [RISA], por lo que es de esperar que sea atractivo para personas con una inclinación vagamente matemática.

---

DOUG. Bueno, como ex periodista que ocasionalmente tenía que lidiar con lo que solíamos llamar el Basura de fin de año por efectivo que escribiríamos, habría sido muy útil tenerlo.

---

PATO. Douglas, ¿estás admitiendo que escribiste listas en tu tiempo?

---

DOUG. Estaba admitiendo que tenía editores que decían: "Necesitamos, absolutamente necesitamos tener un Top Ten Something About Something".

Si tan solo tuviera un generador como este ...

---

PATO. Sí, escribí un pequeño guióny puse 14 elementos allí.

El guión baraja el mazo en sentido figurado, utilizando una implementación correcta del algoritmo de reproducción aleatoria como lo presentó originalmente el famoso Donald Knuth, y luego imprime el Top N para usted.

Y a veces, cuando ejecuta este pequeño programa con los 3 principales, "IoT" estará en la parte superior, porque * debería * preocuparse por las cosas de Internet de las cosas: nosotros todavía no he conquistado eso, todos estos años después.

Pero también querrá ver cosas como "Kaseya","hafnio","Imprimir Pesadilla","clearview”Y toda la controversia en torno a eso.

Y la única crítica que recibí, Doug, fue que alguien dijo: "¿Cómo no puedes incluir Vientos solares"?

---

DOUG. Ese es el mismo comentario en cada una de estas listas: "¿Cómo no podrías incluir ______?"

---

PATO. Bueno, la respuesta a eso es, técnicamente, Solarwinds….

---

DOUG. ¡Oh si! 2020!

---

PATO. Diciembre de 2020!

Cómo pasa el tiempo cuando te diviertes, Doug.

---

DOUG. Ah, sí: divertido.

Bueno, hablando de diversión, tenemos una Fun Fact, por supuesto, para el programa de esta semana.

Y es esto: aunque ambas empresas se fundaron en la década de 1930, los Packard de “Hewlett-Packard” y “Packard Bell” no están relacionados.

Packard de HP es David Packard; Packard de Packard Bell es Leon Packard.

HP comenzó con equipos electrónicos de prueba y medición en 1939, mientras que Packard Bell comenzó su vida en 1933 produciendo radios de consumo.

---

PATO. Oooh, Hewlett-Packard, ¿eh? Me encantaban esas calculadoras en el pasado.

---

DOUG. Bueno, tal vez hablemos de esos pequeños más adelante en el programa. Así que esperad para eso.

Pero hasta entonces, debemos hablar de algo que seguramente pertenezca a su lista de Fin de Año.

¿Dónde estamos con el Vulnerabilidad de Log4Shell?

Cuando me fui a dormir la semana antes de Navidad y me desperté ayer, esperaba que también hubiéramos puesto esto en la cama.

Pero parece que todavía burbujeó un poco aquí y allá.

---

PATO. Bueno, Log4Shell obtuvo lo que podríamos llamar un "cuarta entrega”Entre Navidad y Año Nuevo.

Así que repasemos lo que sucedió en diciembre de 2021.

---

DOUG. Bien, entonces la gente se enteró de esta "característica" [RISAS].

Básicamente, puede insertar código en formularios que podrían hacer muchas cosas, una de ellas es atacar.

Y entonces todos nos dimos cuenta de que se trataba de un problema generalizado.

Y luego comenzamos a sentirlo en la boca del estómago, con un poco de adrenalina, cuando comprendimos que esto se puede explotar incluso desde lo más profundo de una red.

Y luego Apache respondió publicando 2.15.0 de Log4j.

Luego, a medida que los ataques comenzaban y continuaban aumentando, más investigadores decían: “¡Oye, mira lo que encontré! Permítanme ejecutar este análisis para ver cuántos de estos son explotables ".

Entonces, estos investigadores estaban tratando de ayudar, pero no realmente ayudando.

---

PATO. Sí, a veces hay un límite en la cantidad de ayuda que necesita.

Demasiados cocineros estropean el caldo, etc.

---

DOUG. Y luego, como sucede a veces cuando abres una caja de Pandora como esta, Apache cavó un poco más profundo y encontró otra falla y la actualizó nuevamente a 2.16.0.

Y luego encontraron un tercer defecto.

---

PATO. Lo hicieron. [LA RISA]. Fue el "regalo que sigue tomando", Doug.

---

DOUG. Entonces, 2.17.0.

Y luego el gobierno intervino y dijo: “¡Nochebuena! ¡Fecha límite imprescindible! ”.

¿Y entonces qué pasó?

---

PATO. Bueno, no sé si todos cumplieron con la fecha límite, pero todo fue razonablemente tranquilo.

Y la mayoría de las empresas que conozco habían hecho un buen trabajo para entonces.

Entonces, he aquí, entre Navidad y Año Nuevo, surgió otra falla, y Apache tuvo que producir otra solución.

Esto fue 2.17.1, o CVE-2021-44832 si quieres ir a buscarlo.

Así que la mala noticia fue: "¡Oh, no!"

Personal esqueleto en muchas organizaciones; respuesta a amenazas, SecOps, equipos de TI, todos recortados para las vacaciones de Navidad.

“¿Va a ser tan malo como antes? ¿Tenemos que cancelar las vacaciones y tener todas las manos a la obra? "

Afortunadamente, resultó que para explotar este, en términos generales, un atacante ya tendría que tener alguna huella en su red.

Ya necesitaban haberse entrometido para poder jugar con los archivos de configuración, o necesitaban poder manipular e interceptar el tráfico de su red.

Entonces esa fue la cuarta vulnerabilidad.

Como dices, teníamos 2.15.0; luego rápidamente 2.16.0 y 2.17.0; y luego, después de Navidad y San Esteban, de repente tuvimos 2.17.1.

Y supongo que es una indicación, porque no se convirtió en 2.18.0 ...

… Tal vez eso estaba destinado a ser un indicio de que este es un problema algo menor que los anteriores.

Entonces, aunque hubo una llamada a las armas, esa llamada no fue que tuvieras que tener todas las manos en la cubierta en este momento, volviendo a escanear la red, rehaciendo todo.

Necesita parchear, pero probablemente no necesitaba traer a todos para hacerlo en la víspera de Año Nuevo. [LA RISA]

Pero si lo hizo, recuerde que parchear por sí solo no es suficiente en este caso.

Si los delincuentes estuvieran explotando esto en su red, probablemente sería porque ya estaban adentro y pudieron jugar con las cosas.

Y si pueden jugar con la configuración de Log4j, entonces debes preguntarte: “Dios mío. Me pregunto con qué otros ajustes de configuración pueden jugar. Me pregunto qué otro tráfico de red pueden interceptar ".

Por lo tanto, debe hacer una pequeña revisión si cree que está realmente en riesgo de sufrir esta.

Doug, ¿puedo promover mi Log4Shell - La película ¿vídeo?

---

DOUG. ¡Por favor!

Solo iba a decir, "Hay una película en la parte inferior" ... por favor, hazlo.

---

PATO. Básicamente, me cansé un poco de ver otro video de YouTube de alguien que descargó un kit de exploits en línea escrito en Java.

Lo ejecuté, atacó a un servidor aleatorio y dijo: "Mira, mira lo que sucede", sin poder explicar realmente cómo funcionaba todo y mostrar todos los componentes individuales.

Así que quería mostrar un exploit real en el que hice estallar una calculadora.

(¡Y abrí una calculadora HP, Doug, solo para ser absolutamente claro!)

---

DOUG. [Risas] ¡Está bien!

---

PATO. De hecho, quería mostrar Log4j de una manera autónoma, pero realista.

Quería mostrar los detalles de una manera que no te facilitara descargar un kit y hacer un ataque tú mismo ...

… Quería hacerlo de una manera que le ayudara a comprender qué tipo de cosas podría buscar en su red.

Y también, para ser honesto, fue un poco de, "Es por eso que probablemente necesite enviar una tarjeta de 'Gracias' a su personal de TI".

Es por eso que han estado trabajando cuando todos los demás se retiraron por vacaciones, porque puede ver que esto realmente importa.

Fue un error que se aprovechó, pero no necesitas ningún truco.

Era lo que se podría llamar un "error de gestión de productos" [RISAS], no un "error de programación".

Se implementó correctamente, solo que no debería haberse implementado en primer lugar.

---

DOUG. [RISAS] ¡Pasó las pruebas de control de calidad con gran éxito!

---

PATO. Sí, y ese es el problema.

Significaba que absolutamente cualquiera podía usar el error, probablemente sin entenderlo.

Mientras que si quiere ser un defensor, realmente comprender los detalles, como cómo funciona la parte DNS; cómo funcionan LDAP y otras partes de TCP; cómo funciona la parte de inyección de clases de Java ...

Espero que el video, en aproximadamente 18 minutos, le brinde algunas pistas sobre lo que estaba haciendo su equipo de TI y por qué lo estaban haciendo, por qué podría suceder en el interior de su red, no solo en sus servidores en la red: borde, y también brinda tiene una buena idea del tipo de cosas que funcionarán.

La gente dice, "Oh, vaya y bloquee las conexiones TCP de sus servidores vulnerables", pero como muestra el video, eso podría no ser suficiente.

También hay otras formas en que los delincuentes pueden robar datos.

Así que ahí lo tienen. Log4Shell - La película, Doug.

---

DOUG. Perfect.

Muy bien, mira eso, junto con el artículo, está dentro del artículo, que está Vulnerabilidad número cuatro de Log4Shell: mucho ruido y pocas nueces sobre algo en nakedsecurity.sophos.com.

Ahora, no quiero usar la palabra B en este podcast, es un podcast familiar.

Pero esta próxima historia sobre una estafa de Instagram es, oooh, lo voy a decir, aaah: esta es la mejor que he visto en mucho tiempo.

---

PATO. Sí.

Por derecho, no debería enamorarse de este, pero es sorprendentemente creíble si solo tiene prisa, especialmente porque esto sucedió en medio de la temporada navideña.

No quiero decir que fue brillante… pero, sí, como dijiste, definitivamente hay una palabra B esperando para salir.

---

DOUG. Si, que diferencia un poco corrección de estilo criminal poder hacer.

Entonces, mientras avanzamos en esto: estás acusado de infringir los derechos de autor de alguien, y te envían un mensaje desagradable por correo electrónico ... ¿qué dice qué?

---

PATO. Esa es la cuestión, Doug, no es demasiado desagradable.

Son solo la persona en el medio, por lo que no te están amenazando abiertamente.

---

DOUG. Sí, debería caminar de regreso.

Para cualquiera que alguna vez haya tenido que lidiar con reclamos reales como este, es básicamente, “Alguien afirmó que usted robó sus derechos de autor. Haga clic aquí. Hay un formulario que debe completar para indicar de dónde lo obtuvo, ¿lo pagó o puede probar que no lo usó ilegalmente?

---

PATO. Sí, eso es bastante normal, ¿no?

Solo dice: “Recientemente recibimos una queja. Su cuenta será eliminada si no se opone. Si cree que se trata de un error, puede hacer clic en este botón ".

No se ve tan mal, ¿verdad, Doug?

Va a un dominio llamado fb-notificar DOT com; es HTTPS; no es algo tan extraño como un nombre de dominio gratuito en un país del que nunca ha oído hablar; no es una cadena aleatoria de caracteres, porque eso es todo lo que pueden obtener.

Es fb-notificar al DOT com.

Extrae información de tu cuenta de Instagram real, por lo que con el enlace de Naked Security que seguí, absorbió la cantidad de publicaciones que hicimos y la cantidad de seguidores que tenemos ...

[RISAS] Cómo a la gente le encanta saber cuántos seguidores tiene. Tienden a fijarse en ese número.

Los datos parecen correctos porque * son * correctos, simplemente los copian de su página real.

He visto nuestro ejemplo y algunos otros: no copian la publicación más reciente, pero creo que en todos los casos fue la penúltima imagen.

Entonces, en realidad es una imagen de su cuenta.

Haces clic en el botón y, sin dramatismo, solo dice "Se requiere iniciar sesión".

De acuerdo, en realidad no es como se vería realmente la página de inicio de sesión, pero incluso si no tiene prisa, no parece escandaloso, ¿verdad?

---

DOUG. No.

Especialmente si no ha hecho uno de estos antes.

Estás como, "Está bien, supongo que necesito iniciar sesión".

---

PATO. Y luego, lo que sea que escriba, dirá, “Contraseña incorrecta. Comprueba tu contraseña ".

Así que lo escribe con más cuidado la segunda vez.

¿Puedes ver cómo están pensando los ladrones aquí?

---

DOUG. Sí.

---

PATO. Ingresa su contraseña con más cuidado la segunda vez y luego dice: "Gracias, su apelación se envió correctamente".

Dirá que recibirá una respuesta dentro de las 24 horas.

No es * exactamente * cómo funciona el proceso, pero es una especie de cómo funciona: no hay una decisión instantánea, por lo que tampoco es irrazonable.

Y lo último que hace: te redirige a la página de consejos de derechos de autor genuinos de Facebook / Instagram.

---

DOUG. ¡Acabo de clavar el desmontaje!

---

PATO. Esa es la página en la que debería haber comenzado.

---

DOUG. [RISAS] ¡Ah, la ironía!

---

PATO. Y por supuesto, como puedes imaginar, nuestro primer consejo es: averigua dónde está esa página tú mismo.

---

DOUG. Bien, eso nos lleva muy bien a nuestros consejos.

Entonces, ¿qué pueden hacer las personas para evitar estafas como estas?

---

PATO. Bueno, obviamente el primero es: averigüe dónde está la página de infracción de derechos de autor de Facebook, Instagram, Twitter, LinkedIn.

Conozca cuál es el procedimiento, por si acaso le suceda.

Eso básicamente nos lleva del consejo cero al consejo uno: no se moleste en hacer clic en el enlace del correo electrónico.

Si realmente se trata de una infracción de derechos de autor, puede ir a Facebook ... o Instagram, o Twitter, o LinkedIn, a través de su navegador o su aplicación directamente usted mismo, sin necesidad de usar un enlace que vino en un correo electrónico.

Y en este caso, por supuesto, lo que quieren es su contraseña de redes sociales, porque eso tiene un valor real para los delincuentes.

Puede que no te afecte directamente, pero sabes que si los delincuentes obtienen tu contraseña de redes sociales, lo siguiente que sucederá es que todos tus amigos, todos tus amigos o familiares, todas las personas de tu círculo íntimo comenzarán a recibir información. “Mensajes tuyos”, diciendo cosas que nunca soñarías decir.

O, lo que es peor, usar su buen nombre para tratar de convencer a la gente de que haga inversiones poco fiables en las que es mucho más probable que les crean porque provienen de alguien que conocen.

Entonces, su reputación, al menos, corre el riesgo de quemarse.

---

DOUG. Y luego mi favorito, como alguien que es inherentemente vago, es: simplemente use un administrador de contraseñas y 2FA siempre que pueda, porque eso hará todo el trabajo pesado por usted.

Tenemos un gran video al final de esta publicación que le dará algunos consejos adicionales.

Y si ya eres un influencer; Si ya se ha vuelto viral varias veces: hable con alguien más que haya hecho lo mismo.

Pueden guiarlo a través de lo que realmente implica una infracción de derechos de autor, para que sepa qué buscar si alguna vez lo acusan en el futuro.

Está bien, eso es Estafas de infracción de derechos de autor de Instagram: no se deje engañar en nakedsecurity.sophos.com.

Y es ese momento del espectáculo: Esta semana en la historia de la tecnología.

Hablamos un poco sobre ...

---

PATO. Son calculadoras, ¿no? Calculadoras RPN? ¿Son calculadoras * reales *?

---

DOUG. ¡Estamos llegando a las calculadoras!

Hablamos un poco sobre HP al principio de la feria, y esta semana, el 04 de enero de 1972, nació la calculadora científica portátil HP-35, una primicia mundial.

Fue nombrado HP-35 simplemente porque tenía 35 botones.

La calculadora fue un desafío para Bill Hewlett de HP para reducir la calculadora científica 9100A del tamaño de una computadora de escritorio de la compañía para que pudiera caber en el bolsillo de su camisa.

El HP-35 se destacó por ser capaz de realizar funciones trigonométricas y exponenciales sobre la marcha, cosas que hasta entonces habían requerido el uso de reglas de cálculo.

En el lanzamiento, se vendió por $ 395, que son casi $ 2500 en dinero de hoy.

Y, Paul, ¿has usado alguna vez una calculadora HP?

Voy a adivinar que la respuesta [RISAS] es "Sí".

---

PATO. Ahora. Doug, yo soy mirando el HP-35...

(Hace 50 años, ¡increíble! Bueno, el día que estamos grabando de todos modos).

... no es solo un emulador de esa serie de calculadoras HP: básicamente simula la CPU que se utilizó en las calculadoras HP durante las décadas de 1970 y 1980, incluidos modelos como la venerable HP-12C, la HP-16C, la HP-21 , el HP-32, todos esos.

Todos usan la misma CPU, por lo que [el autor de Este software] escribió algo que puede pretender ser la calculadora real.

Y luego proporciona una copia de todas las ROM de HP sin derechos de autor del día, algunas de las cuales se obtuvieron de listados y otras ...

… Creo que para el HP-35, alguien realmente puso a tierra la parte superior de los chips ROM, tomó fotografías microscópicas de ellos y luego escribió un script en Perl que básicamente los digitalizó.

---

DOUG. ¡Dios mío!

---

PATO. Impresionante.

Cuando se fabricaron estas calculadoras, EE. UU. Aún no había firmado la Convención de Berna sobre derechos de autor; creo que EE. UU. Solo firmó a mediados de la década de 1980.

Por lo tanto, algunas de las ROM no tienen derechos de autor, por lo que es realmente legal tenerlas y usarlas.

Cuando ejecutas esta simulación, estoy mirando el HP-35 ahora, ¡qué cosa era! - cuando ejecuta este programa, no solo se ve bien porque han tomado fotografías de una calculadora real, sino que en realidad está ejecutando la ROM original.

Por lo tanto, cualquier error en la calculadora se repetirá fielmente en el simulador.

---

DOUG. Qué momento para estar vivo. Irreal.

---

PATO. 3 kHz, creo que fue la tasa de CPU. Puede hacer 3000 instrucciones por segundo.

---

DOUG. Impresionante.

Bueno, tenemos un muy moderno ... ¿cómo paso a este? [LA RISA]

Desde el pasado lejano hasta el presente no tan lejano, tenemos un error de Apple que está afectando a sus productos "Hogar".

Y esto es un poco oscuro, ¿es una forma diplomática de decirlo? - pero aún está mal. Mas o menos…

---

PATO. Sí, es un recordatorio de que, a veces, errores de Denegación de servicio, en los que se introducen datos poco fiables que no permiten que los delincuentes se apoderen de su red o pongan software espía en su ...

… Casi digo “en tu calculadora” [RISAS] - Tengo un programa de calculadora HP-42 en mi teléfono, así que es una calculadora además de un teléfono.

Puede tener un error que realmente solo brinda la oportunidad de denegación de servicio, pero si ocurre en el momento y el lugar equivocados, y si el programa que falla dice, “Sabes, eso no debería haber sucedido; eso debe ser único; Comenzaré de nuevo e intentaré continuar donde lo dejé. Oh querido. Adivina qué ha pasado de nuevo. Déjame empezar de nuevo ”...

... te metes en este bucle infinito de un programa que realmente debería renunciar elegantemente a tomar tanta potencia computacional que no puedes acceder a la pantalla del menú que te permite detenerlo.

Y si reinicia el teléfono, se está ejecutando antes de que pueda ingresar y decir: "¡No, no quiero que corra!"

Esa parece ser la naturaleza de este error.

El tipo que lo encontró se llama Trevor Spiniolas, espero haberlo pronunciado correctamente, y le ha dado un pequeño logo lindo y un nombre con una fuente original.

Lo ha llamado "cerradura de puerta".

Y, básicamente, se relaciona con la aplicación Home.

Esa es la aplicación con un pequeño ícono de una casa que, si es un usuario de Apple, generalmente usa para administrar la automatización de su hogar, sus cosas de IoT.

Amazon tiene su manera de hacerlo; Google tiene su manera de hacerlo; y Apple tiene una cosa llamada "HomeKit".

Simplemente compra un dispositivo que sea compatible con HomeKit, y luego básicamente puede llevarlo a su red de automatización del hogar y controlarlo muy bien con esta aplicación Apple Home.

Puede asignar nombres significativos a todos sus dispositivos, como fishtank, webcam, babymon, doorbell, lo que.

Pero resulta que, puedes adivinar a dónde va esto, Trevor decidió que doorbell no era un nombre lo suficientemente largo.

Si tuviera un nombre de 500,000 caracteres ... bueno, me pregunto qué pasaría.

Entonces, el error que estaba informando es que podría realizar este cambio con la aplicación Inicio, si lo intentara lo suficiente.

Y luego, cuando la aplicación Home más tarde intentó mostrar el nombre de uno de estos dispositivos, se enredaría en las bragas, por no decir demasiado.

Y no podría usar la aplicación Home.

Entonces eso es suficientemente malo, porque ahora está desconectado de su red HomeKit.

Pero lo que es peor, lo que afirma es que si hubiera configurado lo que se llama Centro de control, dependiendo de su iPhone, desliza hacia arriba desde la parte inferior o hacia abajo desde la parte superior, y aparece un menú de lo que podría llamar aplicaciones especiales que puede aparecer en la parte superior de cualquier otra aplicación.

Lo tengo en mi teléfono; lo uso básicamente para la aplicación Torch, o Flashlight, como usted lo llama.

Así que deslizas hacia arriba y obtienes estos botones especiales: puedes activar WiFi; encienda Bluetooth; enciende la antorcha; mira a donde vas.

Pero también puede tener aplicaciones que aparezcan allí, si son aplicaciones que desea obtener en cualquier momento.

Y Home es obviamente una de las aplicaciones que popularmente la gente pone en este Centro de control, y significa que cuando reinicia su teléfono, el Centro de control dice: “Oye, ¿quieres todo este control? Activaré todas estas aplicaciones en segundo plano, de modo que estén a solo un deslizamiento y un toque de distancia, incluso si estás en medio de otra aplicación ".

Muy conveniente.

Entonces, puede ver a dónde va esto: tiene este error que puede congelar la aplicación Inicio, pero ahora se inicia automáticamente en segundo plano cada vez que su teléfono se reinicia.

Por lo tanto, atasca su teléfono y puede llegar al punto en que no hay tiempo, según Trevor, para ingresar a Configuración> Centro de control> Eliminar la aplicación Inicio antes de que su teléfono se atasque cuando se reinicia.

No pierde ningún dato; no recibe malware en su teléfono; no suena como el fin del mundo.

Pero la única forma en que Trevor podía averiguarlo de manera confiable para recuperar su teléfono era básicamente usar el modo de recuperación o una actualización directa de firmware (DFU).

Y la única forma de hacerlo es si los datos se borran primero, y esa es la desventaja aquí.

Significa que si alguien te atrae, "Oye, únete a mi red HomeKit", y luego tiene uno de estos dispositivos con nombres absurdos, entonces tu aplicación se colgará mientras la está mirando.

Y si no tiene suerte, puede terminar teniendo que limpiar su teléfono para recuperar el control suficiente para hacer cualquier cosa útil con su teléfono.

Lo que es una forma larga de decir: "Deberías hacer copias de seguridad". [LA RISA]

Porque entonces no importa si tiene que restaurar su teléfono a un firmware estándar sin datos, porque solo puede restaurar su copia de seguridad.

---

DOUG. Tampoco podría nombrar sus dispositivos más de, digamos, 20 caracteres, en lugar de 90,000.

---

PATO. ¡Ah! Tengo entendido que esa es la razón por la que finalmente se reveló este error.

Parece que lo informó el año pasado en agosto a Apple: “Echa un vistazo, encontré esta cosa. Puede establecer un nombre de dispositivo en un valor que la aplicación se ahogará cuando lo vuelva a leer ".

Así que claramente las correcciones son: no permita que la aplicación establezca nombres falsos; y no dejes que la aplicación se ahogue con nombres deshonestos.

Y por lo que Trevor pudo ver, para diciembre de 2021, Apple había solucionado el primer problema.

Le impidieron escribir 90,000 caracteres y configurar el nombre de su dispositivo HomeKit en un valor extraño.

Pero no solucionaron el otro lado del error, que es que si ya tienes uno de esos dispositivos en tu red, o alguna persona traviesa como tu tío poco fiable que piensa que es un hacker que tiene acceso a tu red HomeKit ... si no ha actualizado su teléfono, puede usar la versión anterior para arruinar el nombre y su aplicación actualizada aún se ahogará.

---

DOUG. Aha!

---

PATO. Entonces, aparentemente, según el investigador, fue a Apple a principios de diciembre de 2021 y dijo: “Mira, han pasado años ahora, ha sido desde agosto. Estoy pensando en divulgar esto públicamente en enero, para poder dar consejos a las personas sobre una solución alternativa. Sólo para que lo sepas."

Y ya sabes cómo es Apple: no te dicen lo que están haciendo hasta que lo han hecho.

Entonces, llegó enero y, con razón o sin ella, para bien o para mal, hizo la revelación.

Y su argumento es que bien podría saberlo, porque Apple ha tenido meses para arreglar esto.

Arreglaron la primera parte del problema, pero no la segunda.

Entonces, hay dos formas en las que, sin poner un nombre superlargo en su propia red, podría, en teoría, quedar atrapado.

Creo que son poco probables, así que no creo que sea un riesgo tan grande como quizás el investigador esté haciendo ... pero vale la pena saberlo.

La primera es si ha permitido que otra persona acceda a su red HomeKit, que es el equivalente del siglo XXI a darle a su vecino una llave de repuesto, ¿no es así?

Las personas comparten el acceso con otras personas, y si alguna de esas personas se vuelve deshonesta o * su * dispositivo es pirateado, podrían, en teoría, configurar su red HomeKit para que cuando regrese de sus vacaciones, su teléfono se ahogue.

Y la otra cosa es que podrías responder a lo que parece una invitación inocente de HomeKit.

Ahí es donde te invitan a unirte a la red de otra persona.

Y, por supuesto, tan pronto como su teléfono obtenga los absurdos nombres de dispositivos HomeKit de la otra red, su teléfono se ahoga, pero el de ellos no.

Entonces esa es la versión larga de la historia.

---

DOUG. Bien, entonces, ¿hay formas en que las personas puedan mitigar la segunda parte por sí mismas?

¿La gente necesita preocuparse por esto o qué?

---

PATO. Bueno, las soluciones obvias son cosas que creo que deberías estar haciendo de todos modos, cuando se trata de cualquier cosa relacionada con la automatización del hogar.

En primer lugar, minimice la cantidad de personas que ha invitado a unirse a su red HomeKit.

Es básicamente como, en los viejos tiempos, darle a alguien la llave de tu casa: tienes que confiar mucho en la persona antes de hacer eso.

Entonces, si ha tenido el hábito de decir, “Oh, bueno, no les voy a dar una clave real. Puedo rescindir esto en cualquier momento. No es que tenga que ir a cambiar una cerradura física ni nada por el estilo ”, recorta la lista de personas que pueden acceder a la red de su kit doméstico.

De todos modos, ese es un buen sentido de la ciberseguridad.

Y viceversa, aceptar invitaciones para cuidar la red HomeKit de otra persona: trátelo con la responsabilidad que se merece.

No lo hagas de forma casual.

Tal vez sea una invitación que solo quieras aceptar si conoces a la persona y confías mucho en ella.

Por lo tanto, minimice la lista de redes domésticas a las que se permite conectarse.

Y la otra cosa que puede hacer de inmediato, asumiendo que esto no lo ha afectado, y hasta que Apple produzca una solución, es esto.

Si elimina la aplicación Inicio del Centro de control, la aplicación solo se iniciará explícitamente cuando lo desee.

Por lo tanto, siempre tiene la oportunidad de volver a acceder a su teléfono si algo sale mal.

Y, por último, como dijimos en la parte superior de este elemento, haga una copia de seguridad de los datos de su iPhone.

No se limite a hacer una copia de seguridad en iCloud, eso significa que debe iniciar sesión en su cuenta de Apple para poder recuperarlo.

También puede hacer copias de seguridad locales, por ejemplo, en unidades extraíbles cifradas, y luego puede mantener fácilmente su propia copia de seguridad fuera del sitio, sin conexión, en caso de que suceda algo muy malo, como si pierde su teléfono o se rompe en un accidente. o simplemente no puede acceder a sus datos.

Tener su propia copia local es una gran idea.

Puedes hacerlo con iTunes, en Mac o Windows, y si tienes Linux, es aún más fácil: hay una aplicación llamada idevicebackup2.

Si alguna vez necesita recuperar sus datos en caso de emergencia, no necesitará un dispositivo Apple y no necesitará iniciar sesión en una cuenta en línea.

Entonces, ese es mi consejo.

---

DOUG. OK, eso es El error del software Apple Home podría bloquearlo de su iPhone en nakedsecurity.sophos.com.

Y es ese momento del espectáculo para el ¡Oh! ¡No! de la semana.

El usuario de Reddit Xanthian escribe…

Recibí una llamada de un usuario que necesitaba MFA (autenticación multifactor) configurado en su correo electrónico.

Después de configurar su aplicación Authenticator, tuve que explicar cómo usarla.

Entonces, este código en su teléfono se actualizará cada 30 segundos, y simplemente ingrese ese código y se lo pedirá cuando inicie sesión en su correo electrónico.

"Entendido. Déjame escribir esto ".

No debería necesitar escribirlo, el código solo estará en su teléfono. Puede ingresarlo cuando lo necesite.

“Está bien, parece que hay un código nuevo. Déjame escribir este ".

Sí, el código se actualizará cada 30 segundos; simplemente ingrese lo que le muestre cuando intente iniciar sesión.

“Está bien, hay otro. Voy a escribir este muy rápido ".

Sí, cambiará cada vez que lo use; no podrá escribir el código correcto.

“¿Cómo se supone que debo recordar mi código si cambia cada vez? ¡Ustedes nunca piensan en estas cosas! "

Eventualmente lo descubrió.

Las alegrías del usuario de MFA por primera vez con los códigos en constante cambio, tratando de conectarlos, o en este caso por escrito, antes de que cambie.

---

PATO. ¡Muestra que el mensaje sobre no escribir contraseñas en las notas PostIt no se había asimilado! [LA RISA]

Lo mismo que se suponía que 2FA, con códigos en constante cambio, nos ayudaría a solucionarlo.

Pero veo la idea: quiere asegurarse de que no lo atrapen si no tiene su teléfono.

Que es, supongo, la resistencia que mucha gente tiene a ese tipo de 2FA, ¿no es así?

La gente dice: “¿Qué pasa si dejo mi teléfono? ¿Qué pasa si me uno a la red HomeKit incorrecta? [LA RISA]

Bueno, la respuesta es que para la mayoría de los programas que funcionan así, puede imprimir diez códigos especiales de un solo uso que puede bloquear por si acaso.

Pero debes encerrarlos, porque son las llaves del castillo.

---

DOUG. Bueno, ¡todos estaremos mucho más seguros una vez que todos se den cuenta!

Si tienes una cuenta de ¡Oh! ¡No! que le gustaría enviar, nos encantaría leerlo en el podcast.

Puede enviar un correo electrónico a tips@sophos.com; Puede comentar sobre cualquiera de nuestros artículos; o contáctenos en las redes sociales @NakedSecurity.

Ese es nuestro programa de hoy.

Muchas gracias por escuchar

Para Paul Ducklin. Soy Doug Aamoth, recordándote hasta la próxima, que ...

---

AMBAS COSAS. ¡Mantente seguro!

[MÓDEM MUSICAL]