Software & Algoritmes

Tijdens de jaarlijkse Chinese TianFu Cup zijn twee onderzoeksteams erin geslaagd om een kwetsbaarheid in iOS 15 uit te buiten. Team PangU voerde een remote jailbreakaanval uit terwijl Kunlun Lab een remote code execution uitvoerde via Safari in vijftien seconden.

De iPhone-toestellen draaiden volgens Forbes iOS 15.0.2 en volgens patentlyapple maakte Kunlun Lab gebruikt van enkele kwetsbaarheden in de kernel van iOS 15 en de A15-chipset, waardoor het toegang kreeg tot foto’s en apps, en het ook mogelijk werd om data te wissen van het toestel.

Details over de kwetsbaarheden zijn niet meegedeeld. Het is niet duidelijk wanneer de fabrikanten de ontdekte kwetsbaarheden zullen dichten.

Alles bij de bron; Tweakers


 

Een voormalige Facebook-manager, getuigde vorige week over de schadelijke effecten van het massale gebruik van sociale media, doordat hun algoritmes negatief gedrag versterken. Volgens haar beseft Facebook dat perfect, maar doet het niets aan het probleem omdat dat ten koste zou gaan van zijn winstgevendheid.

Door de getuigenissen klinkt de roep om regulering weer luider. Maar dat is sneller gezegd dan gedaan. De bestaande wetgeving is niet gemaakt om een complex probleem zoals gedragsmanipulatie door algoritmes aan te pakken. Op nieuwe wetgeving is het nog jaren wachten, en dan nog zal het moeilijk zijn om die juridisch af te dwingen.

Intussen kunnen we Facebook wel op andere manieren aanpakken, zeggen experts. Door de bestaande wetgeving maximaal te gebruiken, door druk uit te oefenen op adverteerders en door als gebruikers onze rechten op te eisen. Vooral jongeren moeten bewuster en weerbaarder worden gemaakt tegen de verslavende effecten van sociale media.

Alles bij de bron; deTijd


 

Afgelopen zaterdag kondigde Elon Musk, CEO van Tesla, een langverwachte software-update aan. Hiermee kunnen Tesla-rijders zien hoe veilig ze rijden. Dit wordt uitgedrukt in een dagelijkse “veiligheidsscore” die kan variëren tussen de 0 en 100.  

De score wordt bepaald aan de hand van vijf veiligheidsfactoren: het aantal voorwaartse aanrijdingswaarschuwingen per 1.600 kilometer, hard remmen, agressief sturen, onveilige volgafstand en het geforceerd afbreken van de Autopilot.  

Al deze factoren worden vervolgens in de PCF-formule (Predicted Collision Frequency) meegenomen waaruit de score komt rollen. Deze uiteindelijke berekening, die uitgelegd wordt op een speciale website, is een schatting van het aantal botsingen over een gereden afstand van 1,6 miljoen kilometer. 

De score is autogebonden en niet aan individuen gekoppeld. Daarnaast wordt de veiligheidsscore verwijderd bij de verkoop van een Tesla en krijgt iemand een nieuwe bij aankoop van een nieuw voertuig.

Alles bij de bron; BusinessInsider


 

Een groot deel van de populatie kent het wel: eens per maand verrast worden door ongesteldheid. Waar je vroeger gebonden was aan kruisjes zetten in je agenda, kun je tegenwoordig je computer inschakelen. Berekeningen van menstruatiecyclus-, vruchtbaarheids- of zwangerschapsapps zijn vaak zelfs veel nauwkeuriger dan berekeningen in jouw agenda.

Welke apps zijn er eigenlijk op de markt om je cyclus bij te houden? En wat doen ze met de gegevens die je opgeeft? Stiekem weet zo’n applicatie immers wel veel van je.

Er zijn talloze apps om je menstruatie en ovulatie bij te houden. We kunnen deze helaas niet allemaal bespreken. Daarom bespreken we de vijf apps die in de Play Store op dit moment het populairst zijn. We testen bovendien alleen de gratis versie. Per applicatie gaan we na welke gegevens je moet opgeven, welke gegevens je kunt bijhouden en wat er met jouw gegevens gebeurt.

Alles bij de bron; VPNGids


 

Met het eerder deze week uitgebrachte iOS 15 introduceert Apple een nieuwe functie, waarmee je jouw werk- en privélevens compleet kunt scheiden op je Apple-apparaten. We leggen uit hoe.

Met de nieuwe optie ‘Focus’ en het idee is simpel: je maakt speciale profielen aan voor iedere situatie, waarmee je filtert wat je te zien krijgt. Staat je telefoon op privé, dan worden berichten van alle zakelijke apps stilgehouden. Ook kun je voor ieder profiel een eigen iconenscherm maken, zodat het icoon voor bijvoorbeeld je werkmail niet in het weekend in beeld staat.

Het maken van Focus-profielen is vrij makkelijk, maar vergt wel enig voorwerk. Bedenk eerst goed voor wat voor situaties je graag een profiel wil maken: dat kan zijn voor werk en privé, maar je kunt er ook eentje instellen voor ‘s nachts tijdens het slapen.

Alles bij de bron; AD


 

Ip-camera's van fabrikant Hikvision zijn door een ernstig beveiligingslek op afstand over te nemen, waarna het achterliggende netwerk kan worden aangevallen. Hikvision heeft firmware-updates uitgebracht. Daarnaast is de kwetsbaarheid ook aanwezig in ip-camera's die Hikvision fabriceert maar die andere fabrikanten onder hun eigen naam aanbieden. Het is onbekend of voor deze camera's updates beschikbaar zijn.

De kwetsbaarheid is aanwezig in de webserver van de ip-camera's en wordt door een onvoldoende controle van de invoer veroorzaakt. Door het versturen van speciaal geprepareerde berichten is het mogelijk voor een ongeauthenticeerde aanvaller om een onbeperkte rootshell te krijgen. Hiermee heeft de aanvaller verdere toegang dan de gebruiker zelf, die alleen toegang tot een "protected shell" heeft.

Daarnaast is het mogelijk om vanaf de gecompromitteerde camera het achterliggende netwerk aan te vallen, aldus een beveiligingsonderzoeker met het alias "Watchful IP" die het probleem ontdekte en rapporteerde. Volgens de onderzoeker is het probleem aanwezig in Hikvision-firmware die teruggaat tot 2016. 

Alles bij de bron; Security


 

Apple heeft beveiligingsupdates uitgebracht voor iOS en iPadOS waarmee meerdere kritieke kwetsbaarheden zijn verholpen waardoor aanvallers toegang tot iPhones en iPads kunnen krijgen. De beveiligingslekken zijn onder andere aanwezig in bluetooth en Face ID.

Recentelijk kwam Apple met iOS 14.8 en iPadOS 14.8 waarmee twee actief aangevallen zerodaylekken in de besturingssystemen werden verholpen. Nu laat Apple weten dat deze updates veel meer kwetsbaarheden verhelpen dan in eerste instantie werd aangegeven. Iets wat Apple vaker doet. Naast de twee eerder genoemde zerodaylekken zijn er elf andere kwetsbaarheden opgelost.

Naast de aanvullende informatie over iOS en iPadOS 14.8 heeft Apple ook iOS en iPadOS 15 uitgerold. Deze versies verhelpen verschillende kwetsbaarheden die niet in iOS en iPadOS 14.8 staan vermeld. Het gaat onder andere om een beveiligingslek in Face ID waardoor een aanvaller met een 3D-model de gezichtsscan van iPhones en iPads kan omzeilen om zo toegang tot het apparaat te krijgen. 

Alles bij de bron; Security


 

Microsoft zal Exchange Server via een komende update van een nieuwe securityfeature voorzien, zo heeft het techbedrijf aangekondigd. Wat de feature precies inhoudt zal binnenkort bekend worden gemaakt. Het afgelopen jaar werden meerdere kwetsbaarheden in Exchange gebruikt om kwetsbare mailservers aan te vallen.

"Exchange Server blijft een ongelooflijk rijke voedingsbodem voor beveiligingsonderzoek. Dit komt door de enorme complexiteit van het product, zowel qua features als architectuur", stelde Simon Zuckerbraun van het Zero Day Initiative vorige maand.

Normaliter brengt Microsoft de Cumulative Updates (CUs) voor Exchange Server, die allerlei bugfixes bevatten, elke derde dinsdag van de maand uit. Deze maand zou dat 21 september zijn, maar dat is nu een week verschoven. 

Verder stelt Microsoft dat de CU van deze maand alleen beschikbaar komt voor Exchange Servers die de CU van juni geïnstalleerd hebben. Organisaties die van Exchange 2016 of Exchange 2019 gebruikmaken wordt aangeraden de CU van afgelopen juni te installeren.

Alles bij de bron; Security


 

We worden afgeluisterd, gestuurd, gevolgd en geleefd. "Op het moment dat je een technologie in de wereld brengt, is hij heel moeilijk weg te denken", zegt internetpionier Marleen Stikker, pleitbezorger voor een duurzame omgang met technologie, in Kunststof. En ze legt uit: "Degene die technologie in handen heeft, heeft een machtspositie."

"Er is een beweging, waar ik onderdeel van ben, die technologie wil democratiseren en er is een beweging die dat steeds verder van mensen wegbrengt om daarmee macht uit te oefenen. Dat is al tientallen jaren de strijd rondom technologie en met name digitalisering en het internet."

"De eerste vraag die je moet beantwoorden is of de technologie werkelijk gaat bijdragen of dat er niet andere mogelijkheden zijn. Op het moment dat je een technologie in de wereld brengt, is hij heel moeilijk weg te denken. Dus je moet heel goed weten wat je in de wereld brengt."

En dat gaat volgens de internetpionier om dit moment zeer onnauwkeurig. Daarvoor moeten processen worden ingericht: "Welke vorm van technologie willen we wel of niet? En welk gedrag willen we wel of niet? Want uiteindelijk ontwerp je gedrag. Zoals bijvoorbeeld het geval is bij de Coronamelder en de CoronaCheck-app. We roepen dat het een app is, maar uiteindelijk zeggen we daarmee, je moet je op deze manier gedragen. Je ontwikkelt niet enkel een app, je kweekt gedrag of je legt gedrag op."

"Het proces waarmee het tot zo’n keuze komt is ook niet transparant. Er zijn niet veel mensen bij betrokken. Het is echt technocratisch. De manier waarop deze crisis is behandeld, is heel technocratisch."

Alles bij de bron; NPO-Radio1


 

Apple heeft een beveiligingsupdate aangekondigd voor iOS, macOS en watchOS tegen een zero-day in iMessage van het Israëlische bedrijf NSO Group, waardoor toegang gekregen kon worden tot iPhones, iPads, Macs en Apple Watches zonder op een link te klikken.

De zero-click exploit tegen iMessage werd door Citizen Lab aangetroffen op de iPhone van een Saoedische activist, De exploit, genaamd ForcedEntry, misbruikt Apples image rendering library en kan zonder dat het slachtoffer op een link hoeft te klikken toegang krijgen tot een Apple-apparaat, enkel door een gifje te sturen naar de telefoon van het slachtoffer. Dat gifje is in werkelijkheid een PSD- of PDF-file.

Die file crasht de IMTranscoderAgent op het apparaat, waardoor Pegasus arbitraire code kan uitvoeren op het apparaat. De kwetsbaarheid werkt op zowel iOS, MacOS als watchOS. Volgens Citizen Lab wordt de kwetsbaarheid op zijn minst sinds februari dit jaar misbruikt.

Apple roept gebruikers op zo snel mogelijk hun besturingssytemen te updaten. Voor iOS en iPadOS is de meest recente versie 14.8, voor macOS versie 11.6 en voor watchOS versie 7.6.2. Ook heeft Apple een beveiligingsupdate voor macOS Catalina uitgestuurd, update 2021-005

Alles bij de bron; Tweakers


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha