Software & Algoritmes

Negen activisten uit Bahrein waren doelwit van een hack met de Pegasus-spyware van NSO Group. Voor de hack werd gebruikgemaakt van een kwetsbaarheid in iMessage, waarmee zonder interactie van de gebruiker malware geïnstalleerd kon worden op iPhones.

Uit onderzoek van The Citizens Lab van de universiteit van Toronto blijkt dat de malware van de Israëlische NSO Group is geïnstalleerd op iPhones van negen activisten uit Bahrein. Twee van de activisten zijn politieke dissidenten die zijn verbannen uit het land. 

Een van de activisten zou zelfs meerdere malen gehackt zijn in een periode van een paar maanden vorig jaar. De eerste hacks zouden hebben plaatsgevonden in september 2019. Voor de hacks werd gebruikgemaakt van de KISMET-kwetsbaarheid uit 2020 en een nieuwe kwetsbaarheid die FORCEDENTRY wordt genoemd.

Het is niet de eerste keer dat bekend wordt dat er met de Pegasus-software journalisten, activisten en politici worden bespioneerd. Vorige maand nog werd het telefoonnummer van de Franse president Macron ontdekt op een lijst met telefoonnummers die doelwit waren van surveillance met de software.

Alles bij de bron; Tweakers


 

Twee onderzoekers van de Princeton University die net als Apple een systeem ontwikkelden voor het detecteren van kindermisbruik waarschuwen dat de technologie te gevaarlijk is om te gebruiken. Het onderzoeksproject van Jonathan Mayer en Anunay Kulshrestha startte twee jaar geleden. De twee wilden kijken of ze een systeem konden ontwikkelen dat kindermisbruik op end-to-end versleutelde platformen kon detecteren.

Het lukte de onderzoekers om een werkend prototype te ontwikkelen, maar ze liepen naar eigen zeggen tegen een groot probleem aan. "Ons systeem was eenvoudig te hergebruiken voor surveillance en censuur. Het ontwerp was niet beperkt tot een specifieke contentcategorie; een platform kon een willekeurige content-matchingdatabase laden, en de persoon die het platform gebruikte zou het niet weten", aldus de onderzoekers in een column voor The Washington Post.

Een buitenlandse overheid zou bijvoorbeeld een platform kunnen dwingen om mensen aan te geven die onwelgevallige meningen hebben. De onderzoekers waren naar eigen zeggen zo geschrokken dat ze voor hun eigen systeemontwerp waarschuwden.

Het systeem van Apple is volgens de onderzoekers technisch niet effectiever dan wat zij ontwikkelden. "Maar we waren verbaasd om te zien dat Apple nauwelijks antwoorden had op de lastige vragen die wij hadden gesteld."

Volgens de onderzoekers is er letterlijk niets dat Apple kan doen wanneer bijvoorbeeld de Chinese overheid eist om iPhones op pro-democratisch materiaal te controleren. Apple heeft wel maatregelen aangekondigd om misbruik tegen te gaan, maar die schieten volgens de onderzoekers ernstig te kort.

Alles bij de bron; Security


 

Apple wil (vooralsnog alleen) in de Verenigde Staten foto's op iPhones gaan scannen in de strijd tegen kinderporno. Het initiatief ontving, ondanks nobele intenties, de afgelopen week ook kritiek

Experts vrezen een glijdende schaal: nu is het kinderporno, straks eist een regime om te controleren of de iPhones van burgers beelden van bijvoorbeeld homoseksualiteit of majesteitsschennis bevatten...

...Een verplichte meldplicht bij de vondst van kinderporno, zoals die in de VS geldt, werkt bovendien averechts, stelt Arda Gerkens, directeur van het Expertisebureau Online Kindermisbruik (EOKM). Ze wijst erop dat Apple apparaten gaat scannen op materiaal dat al bekend is bij de autoriteiten. "Het gaat om bekend materiaal. Dus je gaat er geen slachtoffers mee redden en ook geen daders mee vinden. De politie kan die tijd veel beter gebruiken om de netwerken op te sporen. Daar zitten de echte daders en slachtoffers."

Het EOKM biedt een vergelijkbare tool aan om kinderporno op te sporen. Bedrijven en organisaties kunnen de scanner vrijwillig gebruiken om hun online platformen, netwerken en servers te controleren op de aanwezigheid van bekend kinderpornomateriaal. De software werkt in de kern hetzelfde als de methode die Apple wil toepassen. Gerkens benadrukt dat de dienst niet bedoeld is voor opsporing van daders. "Er is geen plicht om het aan de politie te melden. Sterker nog: het hoeft niet, want het materiaal is al bekend. Het belangrijkste is dat het internet schoon wordt."...

...Welke risico's en dilemma's het gebruik van Apples voorstel met zich meebrengt, blijkt uit een recent incident waarbij de HashCheckService legitieme afbeeldingen verwijderde... Naast dit incident is het "vier tot zes keer" voorgekomen dat de HashCheckService onterecht beelden verwijderde, zegt Gerkens, die laat weten dat de dienst bij ongeveer dertig bedrijven actief is.

"Als er mensenwerk aan te pas komt, heb je nooit voor 100 procent de garantie dat het altijd goed gaat", zegt Edelman van TransIP. "Daar hebben we nu nog een beetje moeite mee." Het bedrijf wacht nu tot het EOKM verbeteringen doorvoert voor het weer met de organisatie om tafel gaat.

Alles bij de bron; NU


 

 

 

Facebook dwingt onderzoekers van de Duitse non-profit AlgorithmWatch om te stoppen met onderzoek op de sociale media van het bedrijf. AlgorithmWatch schrijft vrijdag op zijn website onder meer dat het onderzoek niet voldoet aan Facebooks voorwaarden...

...In Facebooks voorwaarden staat dat het niet is toegestaan om op automatische wijze gegevens van Facebook te verzamelen. AlgorithmWatch stelt dat de methode, waarbij vrijwilligers informatie over hun feeds met de onderzoekers deelde, geen schending van privacy is, omdat zij voor het onderzoek alleen hun eigen nieuwsoverzichten uitlezen.

AlgorithmWatch schrijft dat het in juli heeft besloten om de stekker uit het project te trekken, omdat het een rechtszaak in financiële zin niet kan riskeren...

...Het is de tweede keer in korte tijd dat blijkt dat Facebook onafhankelijk onderzoek op zijn sociale media tegenhoudt. Eerder deze week werd bekend dat academici van de New York University vanwege onderzoek door het bedrijf waren geschorst.

In 2019 blokkeerde Facebook een tool van een onderzoeker aan de Universiteit van Amsterdam. Met de software konden onderzoekers informatie van Facebook-pagina's en -groepen verzamelen.

Alles bij de bron; NU


 

De fotoscanfunctionaliteit van Apple om materiaal dat wijst op kindermisbruik op te sporen krijgt felle kritiek uit eigen gelederen. 

Bronnen binnen het bedrijf, hebben tegenover Reuters laten weten dat er 'in de interne Slack van Apple meer dan 800 berichten zijn uitgewisseld over het plan dat vorige week werd aangekondigd'. Veel medewerkers zouden hun zorgen hebben geuit over hoe de functionaliteit kan worden ingezet door autoritaire regimes om te censureren en tegenstanders te arresteren.

Apple heeft zelf beloofd de technologie alleen te gebruiken voor het opsporen van kindermisbruik, maar tegenstanders zijn daar niet gerust op.

Naast de zorgen over wat er gebeurt als de technologie in verkeerde handen komt, zijn sommige medewerkers ook bang dat Apple door deze keuze zijn reputatie op het gebied van privacybescherming kwijtraakt.

Verschillende privacyorganisaties hebben al hun zorgen geuit en schreven een brief waarin ze Apple op roepen de plannen voor de fotoscan niet door te zetten. 

Alles bij de bron; Tweakers


 

‘Privacy, dat is de iPhone’. Nou, dat vonden ze bij Apple wat overdreven, .....

Apple gaat namelijk de iCloud van gebruikers – waar zij hun bestanden, foto’s en overige data kunnen opslaan – met een speciaal hiervoor gemaakt algoritme scannen op foto’s van kinderporno. Indien de software beet denkt te hebben, controleert een medewerker de afbeelding. Ook kunnen ouders voortaan een melding krijgen wanneer hun kind een bericht met naaktfoto’s ontvangt via het in de Verenigde Staten populaire iMessage.

Niets af te dingen op een bedrijf dat kinderporno actief tegengaat, toch? „Hoe goedbedoeld ook, Apple rolt hiermee een wereldwijde massasurveillance uit,” twitterde NSA-klokkenluider Edward Snowden vrijdag.

Vaak bleef ik kalm bij de onheilspellende aankondigingen dat het digitale tijdperk het einde der tijden voor onze privacy inluidde. Waarom zou een Apple, Google of Facebook onder al hun miljarden gebruikers nou uitgerekend mijn profiel doorkammen? Die retorische vraag verliest echter alle validiteit wanneer we te maken krijgen met software die miljarden accounts tegelijk kan doorlichten. Die is nu geprogrammeerd om kinderporno te traceren, maar wat zal het straks worden? 

We weten pas als het te laat is, hoe groot de druk van een repressieve overheid moet zijn voordat een techbedrijf bezwijkt. Of hoe kwaadwillend het techbedrijf zelf omgaat met de goudmijnen van data in hun handen.

Vergeet daarbij niet dat tegenwoordig ons hele leven op de smartphone te vinden is. Het maakt ons allen chantabel en kwetsbaar, en de grap van dit alles is dat we er ooit mee akkoord zijn gegaan. „Het stond immers in de algemene voorwaarden”, daarmee zal Big Tech zich verweren, omdat wij in 2021 onze privacy hebben afgekocht om binnen vier minuten een zak chips in huis bezorgd te krijgen.

Niet dat we anders veel keus hebben, want de overheid doet vrolijk mee door een toepassing als de CoronaCheck enkel op de smartphone uit te rollen.

Volgens mij doen we er verstandig aan ons af te vragen wat je wél en niet via je iPhone moet doen. Ik zou zeggen: voorzichtigheid geboden, dat is de iPhone.

Alles bij de bron; NRC


 

In de Tweede Kamer zijn vragen aan demissionair minister Koolmees van Sociale Zaken gesteld over een algoritme dat de gemeente Nissewaard als hulpmiddel gebruikte voor het vaststellen van bijstandsfraude. Eerder deze maand besloot de gemeente te stoppen met het gebruik van het algoritme om de rechtmatigheid van bijstandsuitkeringen vast te stellen.

Uit onderzoek van TNO blijkt dat het algoritme, dat door Totta Data Lab werd ontwikkeld, in de huidige vorm van onvoldoende niveau is om verantwoord in te kunnen zetten. Zo is de auditeerbaarheid van het algoritme gebrekkig, waardoor niet goed kan worden gecontroleerd of het algoritme aan inhoudelijke en procedurele eisen voldoet. Verder is het niet mogelijk om de doeltreffendheid van het algoritme vanuit een technisch oogpunt voldoende te onderzoeken.

SP-Kamerlid Van Kent heeft Koolmees nu om opheldering gevraagd. "Bent u voornemens om te bewerkstelligen dat gemeenten en andere overheden die nog steeds met algoritmen van Totta Data Lab werken, hiermee stoppen?"

Ook moet de minister duidelijk maken of hij bereid is om het geautomatiseerd genereren van risicoprofielen voor de bestrijding van fraude bij alle gemeenten en overheden te stoppen. "Bent u het ermee eens dat het genereren van risicoprofielen van onverdachte burgers een werkwijze is die een grote inbreuk vormt op de grondrechten, en daarom eerst de rechtmatigheid van deze praktijk moet worden vastgesteld alvorens deze methode wordt ingezet?", vraagt Van Kent verder, die tevens wil weten wie er toezicht op het gebruik van algoritmen houdt en wie er ingrijpt wanneer het misgaat.

Alles bij de bron; Security


 

Printers van HP, Samsung en Xerox die sinds 2005 zijn verkocht, hebben een ernstig beveiligingsgat in de driversoftware voor Windows. De oorsprong is software van HP die ook dienst doet voor printers die door Samsung en Xerox zijn uitgebracht onder eigen naam. 

De security-update die HP op 19 mei heeft uitgebracht, is volgens de leverancier voor "een potentiële buffer overflow" in de softwaredrivers "voor bepaalde producten". De uitklapbare lijst van geraakte producten geeft een flinke opsomming van printers; uiteenlopend van HP's LaserJet- en Color Laser-printers via multifunctionals (MFP's) tot aan Samsungs laserprinters en MFP's. 

Security-onderzoeker Kasif Dekel van SentinelOne heeft de door hem ontdekte programmeerfout op 18 februari gemeld bij HP. De ontdekking is gedaan toen het SentinelLabs-onderzoeksteam een gloednieuwe HP-printer installeerde, en daarbij een waarschuwing kreeg van de tool Process Hacker. Eerder zijn daarmee een vijftal 12 jaar oude gaten in een Dell-systeemdriver gevonden. De kwetsbaarheid in HP's printerdrivers overtroeft dit; het is 16 jaar oud.

In het informatiebulletin van HP over de security-update valt al wel te lezen dat het gaat om een verhoging van rechten. Dit beveiligingsprobleem is zeer ernstig, het heeft namelijk een score van 8,8 gekregen op de CVSS-kwetsbaarhedenschaal die loopt tot 10. SentinelOne heeft laten weten dat aanvallers die succesvol misbruik maken dan naar believen nieuwe accounts kunnen aanmaken, eigen programma's kunnen installeren, maar ook gegevens kunnen bekijken, wijzigen, versleutelen en verwijderen.

Alles bij de bron; AGConnect


 

De onderwijsinstellingen SURF en SIVON hebben een akkoord bereikt met Google om hoge privacyrisico's in Google-diensten die door Nederlandse onderwijsinstellingen gebruikt worden te verkleinen. De overeenstemming volgt een maand nadat de Autoriteit Persoonsgegevens (AP) scholen had afgeraden om Google-diensten te gebruiken.

Details over de oplossingen zijn niet bekend. SIVON spreekt over "een uitgebreide set contractuele, organisatorische en technische maatregelen". De komende weken gaan de instellingen met Google in gesprek om de resultaten te verfijnen en om te bepalen hoe de veranderingen doorgevoerd moeten worden.

SURF en SIVON zeggen Google namens het onderwijs te blijven spreken over mogelijke privacyproblemen. De instellingen zijn ondertussen een onderzoek gestart naar de Chrome-browser en besturingssysteem Chrome OS. De resultaten worden met Google besproken.

Alles bij de bron; NU


 

MyCloud NAS-systemen van fabrikant Western Digital zijn door een reeks van kwetsbaarheden in het onderliggende besturingssysteem op afstand over te nemen, zo waarschuwen beveiligingsonderzoekers. Onlangs werden MyBook Live-systemen van WD het doelwit van een aanval waarbij de data van gebruikers werd gewist.

Onderzoekers Radek Domanski en Pedro Ribeiro ontdekten verschillende kwetsbaarheden in MyCloud OS 3, het besturingssysteem van MyCloud NAS-systemen, die het mogelijk voor een ongeauthenticeerde aanvaller maken om code als root uit te voeren en een permanente backdoor op het NAS-systeem te installeren. 

De kwetsbaarheid is in MyCloud OS 5 verholpen. In maart van dit jaar waarschuwde WD dat MyCloudOS 3 niet meer wordt ondersteund. Gebruikers werd opgeroepen om te upgraden naar OS 5. Het is echter onduidelijk of het beveiligingslek in OS 3 is opgelost. 

Domanski en Ribeiro stellen dat OS 5 belangrijke features mist die wel in OS 3 aanwezig zijn, waardoor sommige gebruikers er misschien voor kiezen om niet te upgraden. Om eventueel misbruik te voorkomen wordt deze gebruikers aangeraden hun NAS niet direct vanaf het internet toegankelijk te maken.

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha