På Tek finner du saker med annonselenker, hvor du enten kan kjøpe produktene vi har omtalt eller sammenligne priser. Det mener vi er relevant informasjon for våre lesere.
Hvilke produkter Tek skal skrive om, og hva vi skal skrive om dem, velger journalistene og ingen andre. Men det er også viktig at du vet at hvis du klikker på en slik annonselenke til prissammenligning hos Prisjakt, eller kjøper et produkt etter å ha klikket deg inn til en butikk fra en av våre artikler, tjener Tek penger. Disse annonselenkene er alltid merket med «annonselenke».
Det er viktig å understreke at når vi omtaler produkter på Tek, så er det fordi vi mener det er journalistisk interessant. Ingen kan kjøpe seg omtale i våre saker.
I tester eller produktguider er hovedregelen i VG at vi kjøper eller låner produktet. Dersom det ikke er praktisk mulig, baserer vi omtalen på produktprøver vi har fått tilsendt. I så fall opplyser vi om hvilket produkt og hvorfor.
Alvorlige sikkerhetshull oppdaget i AirPlay
Hackere kan ta kontroll over Mac-er og høyttalere uten at du merker det.
Sikkerhetsselskapet Oligo melder på sine nettsider at de har avdekket en rekke kritiske sikkerhetshull i Apples AirPlay-teknologi, som kan la angripere ta kontroll over enheter via trådløse nettverk. Ifølge TechSpot skal det dreie seg om hele 23 separate sårbarheter.
Det mest foruroligende er at angrepene kan skje helt uten at brukeren merker det eller foretar seg noe. Oligo kaller sårbarheten "AirBorne" og advarer om at den kan spre seg automatisk mellom enheter på samme nettverk.
– En kritisk feil kombinert med en annen sårbarhet gjør det mulig for angripere å ta kontroll over macOS-systemer som er satt opp til å akseptere AirPlay-tilkoblinger, forklarer Gal Elbaz, sjef i Oligo og en av forskerne bak rapporten.
I rapporten nevnes det syv ulike typer sårbarheter, som altså til sammen utgjør de 23 ulike «hullene» i AirPlay-protokollen:
- Zero-Click RCEZero-Click RCEEn type hacking som ikke krever noen handling fra brukeren selv for å fungere.
- One-Click RCEOne-Click RCEEt angrep som krever én handling fra den som angripes, eksempelvis et lenketrykk.
- Access control listAccess control listEn liste over hvem som er autorisert tilgang eller bruksrettighet til en gitt enhet. (ACL) and user interaction bypassuser interaction bypassHacking som overstyrer de etablerte sikkerhetsreglene, gjerne ved å forfalske brukerinteraksjon der det ville vært nødvendig.
- Local Arbitrary File ReadLocal Arbitrary File ReadEn sårbarhet som lar en angriper lese filer fra et offers datasystem, uten godkjenning. Kan brukes til å finne passord eller annen sensitiv informasjon.
- Sensitive information disclosureSensitive information disclosureLar sensitive data på nettverket leses av uvedkommende. Dette kan være eksempelvis personopplysninger eller interne IP-adresser.
- Man-in-the-middle (MITM) attacksMan-in-the-middle (MITM) attacksEt angrep hvor en tredjepart fanger opp og potensielt manipulerer kommunikasjonen mellom to parter (eksempelvis mellom bruker og nettside), uten at noen av partene er klar over det.
- Denial of serviceDenial of serviceEt angrep som forsøker å gjøre en tjeneste utilgjengelig ved å overbelaste den med trafikk eller utnytte sårbarheter, slik at den krasjer eller blir veldig treg. (DoS)
Blant «worst case»-scenarioene forskerne ser for seg finner vi blant annet muligheten for at en infisert laptop på et offentlig Wi-Fi-nettverk senere kan brukes som inngangsport til bedriftsnettverk når den kobles til på jobb.
Apple har tettet hullene – men tredjepartsenheter utgjør fortsatt en fare
Det er verdt å merke seg at Apple allerede har dyttet ut sikkerhetsoppdateringer for sine egne enheter, og at du derfor bør oppdatere snarest mulig. Dette gjelder både mobiltelefoner og datamaskiner, men også programvaren på eksempelvis en HomePod eller Apple TV om du har det.
Dette kan imidlertid likevel ikke være nok, skal vi tro forskerne.
Millioner av tredjepartsprodukter som bruker AirPlay-teknologien kan nemlig fortsatt være sårbare. Dette inkluderer blant annet smarthøyttalere, TV-er og biler med CarPlay. Her er du avhengig av at produsentene av disse produktene også følger opp med egne oppdateringer for å fikse hullene.
– Apple og Oligo har jobbet grundig og over lengre tid sammen for å identifisere og tette hullene, med mål om å beskytte sluttbrukerne så langt det lar seg gjøre, skriver forskerne i rapporten.
Apple selv oppgir at det finnes rundt 2,35 milliarder aktive enheter globalt som kan påvirkes av sikkerhetshullene, og at et angrep i stor skala derfor kunne vært svært ødeleggende.
Anbefalingen fra både Apple og forskerne er derfor tydelig:
- Oppdater Apple-enhetene dine umiddelbart
- Vær forsiktig med nettverksdeling og AirPlay-innstillinger – særlig på offentlige Wi-Fi-nettverk.
