Varning! Dessa “Black Friday” -avtal kan vara dåliga för din säkerhet
Varje år tillkännager återförsäljare dörrbrytande erbjudanden på artiklar som de tror kommer att locka kunder till sina butiker dagen efter den amerikanska Thanksgiving-semestern. Svart fredag är en av de mest populära shoppingdagarna på året. Tillsammans med sin granne Cyber måndag sträcker sig in i Cyberveckan, dessa shoppingdagar (och alla “tidiga Black Friday” -affärer) initierar uppenbarligen julsemestersäsongen i USA och på andra håll.
(Fortsätt läsa – vi har en särskild årsrabatt för 2020 för första gången köpare av Intego-programvara.)
Elektroniska prylar är vanligtvis bland de mest eftertraktade artiklarna. När jag började bläddra igenom några tidiga Black Friday-erbjudanden i år märkte jag fortsättningen på en störande trend som jag har observerat under tidigare år.
Många återförsäljare säljer gamla, sårbara Apple-enheter
Hos en viss återförsäljare var en av ”erbjudandena” en kraftigt rabatterad iPhone 5c, för mindre än $ 50. Och när jag fortsatte att surfa såg jag mer uppenbara erbjudanden för andra gamla iPhones och iPads, inklusive en iPad 2 för mindre än 75 $.
Vad kan möjligen vara oroande över djupt nedsatta, år gamla Apple-enheter, kan du fråga?
För det första är många av dessa enheter inte längre får några uppdateringar av operativsystemet eller säkerhetsuppdateringar från Apple. Den som köper en iPhone 5c, även om den är helt ny och oöppnad, kommer alltid att fastna med iOS 10.3.3, som har hundratals kända säkerhetsproblem som Apple aldrig kommer att korrigera– inklusive Spectre, KRACK och många andra – och saknar nya säkerhetsfunktioner som USB-begränsat läge, indikatorer för användning av kamera och mikrofon etc. En iPad 2 är ännu värre, eftersom den är begränsad till iOS 9.3.6.
Men det är inte bara den gamla iPhone 5c och iPad 2 som du bör undvika. Många nyare Apple-enheter är också sårbara.
En särskilt anmärkningsvärd fråga (på grund av en hårdvarufel som inte kan åtgärdas med en iOS-uppdatering) är att alla iPhone eller iPad med en Apple A5 till A11 Bionic-processor är sårbara till checkm8, en “unpatchable bootrom exploit.” Det betyder att någon med fysisk åtkomst till din enhet kan installera skadlig kod eller i vissa fall * kan låsa upp enheten och få tillgång till all din data. Vi diskuterade detta i avsnitt 103 av Intego Mac Podcast (hoppa framåt till 10:15 i spelaren nedan för att höra det samtalet).
Enheter som är utsatta för checkm8 inkluderar följande modeller som ursprungligen släpptes mellan 2011 och 2019:
- alla modeller av iPhone från 4S till 8 & X, inkl. första generationens SE (2016)
- alla modeller av iPad från 2 till 7: e generationen (2019)
- iPad Air (2013) och iPad Air 2 (2014)
- alla modeller av iPad mini från första generationen till och med 4 (2015)
- alla iPad Pro 9.7-in. & 10,5 tum och 1: a och andra generationen 12,9 tum (2015, 2017)
- alla modeller av iPod touch från 5: e till 7: e generationen (den nuvarande modellen)
* De mest sårbara modellerna i listan ovan är alla som har en processor som är äldre än A7 och därmed inte inkluderar Secure Enclave, speciellt: iPhone 4S, 5 och 5c, iPad 2 till 4: e generationen, iPad mini 1: a generationen, och alla modeller av iPod touch som anges ovan.
Varning! Dessa “fynd” -enheter är osäkra att använda online.
Vilka iPhones och iPads är säkra, om jag hittar ett bra pris?
Även om du planerar att använda en iOS-enhet mestadels offline, kommer många moderna appar i App Store att vägra att köra på gamla versioner av iOS. Så även om du inte är särskilt bekymrad över säkerhet är det fortfarande en bra idé att få en enhet som kan uppgraderas till iOS 14 eller iPadOS 14 (de nuvarande operativsystemen).
Om du vill köpa en Apple-mobilenhet till försäljning den här julperioden och säkerhet och integritet är viktigt för dig bör du helst söka efter en enhet som kan köra iOS 14 eller iPadOS 14 och är INTE sårbar för checkm8. Följaktligen är följande modeller för närvarande de säkraste:
- iPhone XR & XS eller senare, inkl. andra generationens SE (2020)
- iPad 8th-gen (nuvarande modell)
- iPad Air 3rd-gen eller senare
- iPad mini 5: e generationen (den nuvarande modellen)
- iPad Pro 3: e generationen eller senare
Tyvärr är även den nuvarande modellen för iPod touch (7: e generationen, släppt 2019) sårbar för checkm8.
Äldre Android-enheter kan också vara sårbara
Det är inte bara Apple-enheter som konsumenterna bör vara försiktiga med.
Om du är ute efter en Android-surfplatta eller smartphonekan du hitta några som kommer med Android 7 (Nougat) eller äldre versioner som inte längre får säkerhetsuppdateringar. Den nuvarande versionen är Android 11, som kanske inte är kompatibel med alla rabatterade smartphones eller surfplattor. Fråga med enhetstillverkaren om de stöder uppgradering till den aktuella versionen av operativsystemet Android 11.
Köp aldrig en föråldrad Wi-Fi-router
Konsumenter bör också vara försiktiga med äldre modeller av hem-Wi-Fi-routrar, som också tenderar att säljas runt Black Friday. Din router är hårdvara som står mellan allt i ditt hemnätverk och det offentliga Internet, så det är mycket viktigt att välja en router som inte riskerar dig. Försök att välja ett varumärke som du känner igen och litar på, om möjligt. Det är också bra att veta att den senaste trådlösa standarden är Wi-Fi 6 (802.11ax). Även om routermodellerna “AX” tenderar att vara dyrare, är de nästan säkert nya för att tillverkaren fortfarande ska kunna stödja dem.
Inte alla tillverkare säljer dock Wi-Fi 6-routrar ännu. Den tidigare trådlösa standarden var 802.11ac Wave 2 (ibland kallad Wi-Fi 5), och det är mycket troligt att du kommer att se många av dem till försäljning i år. Var försiktig, eftersom vissa “AC” -routrar kan vara gamla modeller som inte får firmwareuppdateringar från tillverkaren längre, vilket kan göra dem farliga att använda. Undvik till exempel att få några Apple AirPort-basstationer (AirPort Express, AirPort Extreme eller AirPort Time Capsule), som Apple inte längre säljer, aldrig översteg 802.11ac Wave 1 i bästa fall och fick senast en firmwareuppdatering i mitten av 2019 ( ungefär 1,5 år sedan).
Många IoT-enheter har svag säkerhet
Billigt eller utanför märket ”IoT-enheter” (Internet of Things)—Som Internet-aktiverade babymonitorer, säkerhetskameror, kaffebryggare och andra produkter som ansluter till ditt Wi-Fi-nätverk – har ofta dålig säkerhet. Ibland kan de vara lätta för hackare att utnyttja, och i vissa extrema fall kan de sluta bli smittade och bli en del av ett botnet. Med andra ord kan det bli en zombie, en del av en legion av komprometterade enheter som erbjuder en angripares bud, utan att du känner till det.
Som med routrar, försök att välja varumärken du känner igen och litar på när det är möjligt, och försök också välja produkter som har ett stort antal mestadels positiva recensioner. (Och om det är en produkt med internetfunktioner som verkar mycket mer gimmicky än användbar eller praktisk, överväga att skaffa en icke-ansluten version istället eller helt enkelt inte ansluta den till ditt Wi-Fi-nätverk, bara för att spela det säkert.)
Vad är takeaway?
Om du inte får något annat ut av den här artikeln, var god ta följande råd:
Motstå uppmaningen att köpa en Internet-aktiverad enhet vid impuls. Gör dina ordspråkiga läxor först. Se till att produkten och dess tillverkare har gott rykte och en erfarenhet av att ta säkerhet på allvar. Försök också bekräfta att enheten är fortfarande tar emot uppdateringar av fast programvara eller operativsystem från tillverkaren.
Om du inte är säker på hur du ska undersöka detta själv är ett bra ställe att börja att kontrollera om tillverkaren fortfarande annonserar eller säljer enheten direkt på den officiella företagssidan. Om du fortfarande är osäker, be en kunnig IT-person om hjälp med att identifiera om en produkt kommer från ett ansedd företag eller inte och sannolikt är säker.
Tyvärr har de flesta konsumenter lite eller ingen uppfattning om hur farligt det är att använda produkter som har eviga nolldagars sårbarheter. Att använda avbrutna eller omatchade internetaktiverade enheter är lite som att köra i höga hastigheter dagligen utan att ha på sig säkerhetsbälte; det är farligt och förr eller senare kommer du sannolikt att skada dig. Därför är ett av våra mål på Intego att hjälpa utbilda konsumenter och ge dem den kunskap och de verktyg de behöver för att vara säkra online.
Och på den noten kan du hjälpa till att vara en del av lösningen. Ta en stund till dela den här artikeln för att hjälpa dina vänner och nära och kära att vara säkra!
Integos Black Friday / Cyber Monday / Cyber Week-erbjudanden för 2020
Om du råkar läsa detta mellan 26 november och 5 december 2020 kan förstagångsköpare (och tidigare kunder med utgångna prenumerationer) få en mycket speciell rabatt på Integos Mac-programvara: upp till 65% rabatt på Mac Premium Bundle X9 – den ultimata Mac-skydd och verktygssvit. Du kan också få rabatt på Intego Antivirus för Windows. Kom ihåg att använda dessa länkar för att maximera dina besparingar, och var noga med att berätta för din Mac och PC med vänner om dessa fantastiska erbjudanden!
Hur kan jag lära mig mer?
För ytterligare tips om att handla säkert online, se vår relaterade artikel:
6 viktiga tips för att vara säker på att handla online
På veckans avsnitt av Intego Mac Podcast (avsnitt 163) diskuterade vi hur man gör bra val när det gäller att köpa elektroniska enheter som säljs. Var noga med att prenumerera så att du aldrig missar det senaste avsnittet!
Prenumerera också på vår e-post nyhetsbrev och håll ett öga här Mac-säkerhetsbloggen för uppdateringar.
Och se till att du följer Intego på dina favoritkanaler för sociala medier och media: Facebook, Instagram, Twitter och YouTube (klicka på 🔔 för att få ett meddelande om nya videor).
Om Joshua Long
Joshua Long (@theJoshMeister), Integos Chief Security Analyst, är en känd säkerhetsforskare, författare och talare. Josh har en magisterexamen i IT-koncentration inom Internetsäkerhet och har tagit doktorsexamen i informationssäkerhet. Apple har offentligt erkänt Josh för att ha upptäckt en sårbarhet för Apple ID-autentisering. Josh har genomfört cybersäkerhetsforskning i mer än 20 år, som ofta har presenterats av stora nyhetsbutiker världen över. Leta efter fler av Joshs artiklar på security.thejoshmeister.com och följ honom på Twitter. Visa alla inlägg av Joshua Long → Detta inlägg postades i Säkerhet och sekretess och taggades Black Friday, Cyber Monday, Thanksgiving. Bokmärk permalänken.