Software & Algoritmes

Apple heeft een beveiligingsupdate aangekondigd voor iOS, macOS en watchOS tegen een zero-day in iMessage van het Israëlische bedrijf NSO Group, waardoor toegang gekregen kon worden tot iPhones, iPads, Macs en Apple Watches zonder op een link te klikken.

De zero-click exploit tegen iMessage werd door Citizen Lab aangetroffen op de iPhone van een Saoedische activist, De exploit, genaamd ForcedEntry, misbruikt Apples image rendering library en kan zonder dat het slachtoffer op een link hoeft te klikken toegang krijgen tot een Apple-apparaat, enkel door een gifje te sturen naar de telefoon van het slachtoffer. Dat gifje is in werkelijkheid een PSD- of PDF-file.

Die file crasht de IMTranscoderAgent op het apparaat, waardoor Pegasus arbitraire code kan uitvoeren op het apparaat. De kwetsbaarheid werkt op zowel iOS, MacOS als watchOS. Volgens Citizen Lab wordt de kwetsbaarheid op zijn minst sinds februari dit jaar misbruikt.

Apple roept gebruikers op zo snel mogelijk hun besturingssytemen te updaten. Voor iOS en iPadOS is de meest recente versie 14.8, voor macOS versie 11.6 en voor watchOS versie 7.6.2. Ook heeft Apple een beveiligingsupdate voor macOS Catalina uitgestuurd, update 2021-005

Alles bij de bron; Tweakers


 

De Sociale Verzekeringsbank (SVB) publiceert binnenkort een register met veelgebruikte algoritmen op de eigen website. Daarin staat welke algoritmen door de SVB worden ingezet en hoe die werken. Ook verschijnt er een lijst met contactpersonen voor het opvragen van technische informatie. De SVB gaat burgers zo meer inzicht geven in de ingezette algoritmen. 

In het register worden veelgebruikte algoritmen geplaatst, vertelt Rolf Leijdekker, data-autoriteit binnen het cio-office van de SVB. ‘We leggen uit hoe deze werken. Daarbij houden we rekening met de ervaringen van burgers. Ook komen er contactpersonen bij de algoritmen te staan. Zo weet je bij wie je terechtkan als je hier vragen over hebt. Of als je technische informatie over de algoritmen wilt opvragen.’

Leijdekker meldt dat achter elke regeling die de SVB uitvoert een algoritme zit.

Alles bij de bron; Computable


 

WordPress heeft een beveiligingsupdate uitgebracht die drie kwetsbaarheden verhelpt. Het gaat om cross-site scripting in de block editor, een kwetsbaarheid in de REST API en een beveiligingslek in de Lodash-library. 

De problemen zijn aanwezig in WordPress 5.4 tot en met 5.8. Gebruikers wordt aangeraden om te updaten naar WordPress 5.8.1. Deze versie verhelpt ook nog zestig niet-security gerelateerde bugs. Omdat het om een "security release" gaat adviseert het WordPress-ontwikkelteam om websites meteen te updaten. 

Het het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat weten dat het mogelijk is om via de kwetsbaarheden WordPress-websites over te nemen.

Alles bij de bron; Security


 

QNAP meldt meerdere kwetsbaarheden in software voor zijn nas-systemen verholpen te hebben, waaronder in de Qusbcam2-software. Ook switches van het bedrijf die QuNetSwitch draaien, waren kwetsbaar.

QNAP meldt in een beveiligingswaarschuwing dat Qusbcam2 een kritieke bufferoverflowkwetsbaarheid had die aanvallers konden uitbuiten om zo willekeurig code op kwetsbare systemen uit te voeren. Het probleem is verholpen bij Qusbcam2 1.1.4 op QTS 4.5.4, QTS 4.3.6 en QuTS h4.5.3 en latere versies. De software maakt het mogelijk een externe camera op een nas-systeem aan te sluiten en het beeld op afstand te bekijken...

....twee stackbufferoverflowproblemen van NVR Storage Expansion zijn verholpen bij versie 1.0.6 en latere versies van deze software voor video-opnames via netwerken. Ten slotte is een kwetsbaarheid verholpen in de QSW-M2116P-2T2S en QNAP-switches die QuNetSwitch draaien. Deze maakte het uitlezen van gevoelige data mogelijk.

Alles bij de bron; Tweakers


Er komt voorlopig geen kinderpornodetectie op iPhones, meldt Apple. Het bedrijf zegt nu meer tijd nodig te hebben om het systeem te verbeteren.

"Na feedback van klanten, belangengroepen, onderzoekers en anderen hebben we besloten de komende maanden extra tijd te nemen om meer informatie te verzamelen en verbeteringen door te voeren, voordat we deze uiterst belangrijke veiligheidsfuncties voor kinderen vrijgeven", schrijft het bedrijf nu.

Apple zou telefoons en tablets van gebruikers willen scannen door foto's op apparaten te vergelijken met beelden uit een kinderpornodatabase van het Amerikaanse National Center for Missing and Exploited Children. De software zou aanwezig zijn in iOS 15, het besturingssysteem voor iPhones dat in het najaar wordt uitgebracht.

De speciale software zou alarm slaan als hij denkt dat hij op illegale beelden is gestuit. Een team van onderzoekers bepaalt daarna of de autoriteiten worden ingeschakeld.

Beveiligingsexperts en belangengroepen uitten de afgelopen weken veel kritiek op het systeem. Zo zou de technologie aangepast kunnen worden om andere soorten beelden op te sporen, zoals foto's van antiregeringsprotesten of onthoofdingen door extremisten. Critici vrezen dat andere techbedrijven straks onder druk gezet kunnen worden om gegevens op telefoons op een vergelijkbare manier in de gaten te gaan houden.

Het is niet duidelijk wat Apple precies wil aanpassen. Ook is onbekend wanneer de technologie alsnog moet worden toegevoegd aan het besturingssysteem.

Alles bij de bron; NU


 

Negen activisten uit Bahrein waren doelwit van een hack met de Pegasus-spyware van NSO Group. Voor de hack werd gebruikgemaakt van een kwetsbaarheid in iMessage, waarmee zonder interactie van de gebruiker malware geïnstalleerd kon worden op iPhones.

Uit onderzoek van The Citizens Lab van de universiteit van Toronto blijkt dat de malware van de Israëlische NSO Group is geïnstalleerd op iPhones van negen activisten uit Bahrein. Twee van de activisten zijn politieke dissidenten die zijn verbannen uit het land. 

Een van de activisten zou zelfs meerdere malen gehackt zijn in een periode van een paar maanden vorig jaar. De eerste hacks zouden hebben plaatsgevonden in september 2019. Voor de hacks werd gebruikgemaakt van de KISMET-kwetsbaarheid uit 2020 en een nieuwe kwetsbaarheid die FORCEDENTRY wordt genoemd.

Het is niet de eerste keer dat bekend wordt dat er met de Pegasus-software journalisten, activisten en politici worden bespioneerd. Vorige maand nog werd het telefoonnummer van de Franse president Macron ontdekt op een lijst met telefoonnummers die doelwit waren van surveillance met de software.

Alles bij de bron; Tweakers


 

Twee onderzoekers van de Princeton University die net als Apple een systeem ontwikkelden voor het detecteren van kindermisbruik waarschuwen dat de technologie te gevaarlijk is om te gebruiken. Het onderzoeksproject van Jonathan Mayer en Anunay Kulshrestha startte twee jaar geleden. De twee wilden kijken of ze een systeem konden ontwikkelen dat kindermisbruik op end-to-end versleutelde platformen kon detecteren.

Het lukte de onderzoekers om een werkend prototype te ontwikkelen, maar ze liepen naar eigen zeggen tegen een groot probleem aan. "Ons systeem was eenvoudig te hergebruiken voor surveillance en censuur. Het ontwerp was niet beperkt tot een specifieke contentcategorie; een platform kon een willekeurige content-matchingdatabase laden, en de persoon die het platform gebruikte zou het niet weten", aldus de onderzoekers in een column voor The Washington Post.

Een buitenlandse overheid zou bijvoorbeeld een platform kunnen dwingen om mensen aan te geven die onwelgevallige meningen hebben. De onderzoekers waren naar eigen zeggen zo geschrokken dat ze voor hun eigen systeemontwerp waarschuwden.

Het systeem van Apple is volgens de onderzoekers technisch niet effectiever dan wat zij ontwikkelden. "Maar we waren verbaasd om te zien dat Apple nauwelijks antwoorden had op de lastige vragen die wij hadden gesteld."

Volgens de onderzoekers is er letterlijk niets dat Apple kan doen wanneer bijvoorbeeld de Chinese overheid eist om iPhones op pro-democratisch materiaal te controleren. Apple heeft wel maatregelen aangekondigd om misbruik tegen te gaan, maar die schieten volgens de onderzoekers ernstig te kort.

Alles bij de bron; Security


 

Apple wil (vooralsnog alleen) in de Verenigde Staten foto's op iPhones gaan scannen in de strijd tegen kinderporno. Het initiatief ontving, ondanks nobele intenties, de afgelopen week ook kritiek

Experts vrezen een glijdende schaal: nu is het kinderporno, straks eist een regime om te controleren of de iPhones van burgers beelden van bijvoorbeeld homoseksualiteit of majesteitsschennis bevatten...

...Een verplichte meldplicht bij de vondst van kinderporno, zoals die in de VS geldt, werkt bovendien averechts, stelt Arda Gerkens, directeur van het Expertisebureau Online Kindermisbruik (EOKM). Ze wijst erop dat Apple apparaten gaat scannen op materiaal dat al bekend is bij de autoriteiten. "Het gaat om bekend materiaal. Dus je gaat er geen slachtoffers mee redden en ook geen daders mee vinden. De politie kan die tijd veel beter gebruiken om de netwerken op te sporen. Daar zitten de echte daders en slachtoffers."

Het EOKM biedt een vergelijkbare tool aan om kinderporno op te sporen. Bedrijven en organisaties kunnen de scanner vrijwillig gebruiken om hun online platformen, netwerken en servers te controleren op de aanwezigheid van bekend kinderpornomateriaal. De software werkt in de kern hetzelfde als de methode die Apple wil toepassen. Gerkens benadrukt dat de dienst niet bedoeld is voor opsporing van daders. "Er is geen plicht om het aan de politie te melden. Sterker nog: het hoeft niet, want het materiaal is al bekend. Het belangrijkste is dat het internet schoon wordt."...

...Welke risico's en dilemma's het gebruik van Apples voorstel met zich meebrengt, blijkt uit een recent incident waarbij de HashCheckService legitieme afbeeldingen verwijderde... Naast dit incident is het "vier tot zes keer" voorgekomen dat de HashCheckService onterecht beelden verwijderde, zegt Gerkens, die laat weten dat de dienst bij ongeveer dertig bedrijven actief is.

"Als er mensenwerk aan te pas komt, heb je nooit voor 100 procent de garantie dat het altijd goed gaat", zegt Edelman van TransIP. "Daar hebben we nu nog een beetje moeite mee." Het bedrijf wacht nu tot het EOKM verbeteringen doorvoert voor het weer met de organisatie om tafel gaat.

Alles bij de bron; NU


 

 

 

Facebook dwingt onderzoekers van de Duitse non-profit AlgorithmWatch om te stoppen met onderzoek op de sociale media van het bedrijf. AlgorithmWatch schrijft vrijdag op zijn website onder meer dat het onderzoek niet voldoet aan Facebooks voorwaarden...

...In Facebooks voorwaarden staat dat het niet is toegestaan om op automatische wijze gegevens van Facebook te verzamelen. AlgorithmWatch stelt dat de methode, waarbij vrijwilligers informatie over hun feeds met de onderzoekers deelde, geen schending van privacy is, omdat zij voor het onderzoek alleen hun eigen nieuwsoverzichten uitlezen.

AlgorithmWatch schrijft dat het in juli heeft besloten om de stekker uit het project te trekken, omdat het een rechtszaak in financiële zin niet kan riskeren...

...Het is de tweede keer in korte tijd dat blijkt dat Facebook onafhankelijk onderzoek op zijn sociale media tegenhoudt. Eerder deze week werd bekend dat academici van de New York University vanwege onderzoek door het bedrijf waren geschorst.

In 2019 blokkeerde Facebook een tool van een onderzoeker aan de Universiteit van Amsterdam. Met de software konden onderzoekers informatie van Facebook-pagina's en -groepen verzamelen.

Alles bij de bron; NU


 

De fotoscanfunctionaliteit van Apple om materiaal dat wijst op kindermisbruik op te sporen krijgt felle kritiek uit eigen gelederen. 

Bronnen binnen het bedrijf, hebben tegenover Reuters laten weten dat er 'in de interne Slack van Apple meer dan 800 berichten zijn uitgewisseld over het plan dat vorige week werd aangekondigd'. Veel medewerkers zouden hun zorgen hebben geuit over hoe de functionaliteit kan worden ingezet door autoritaire regimes om te censureren en tegenstanders te arresteren.

Apple heeft zelf beloofd de technologie alleen te gebruiken voor het opsporen van kindermisbruik, maar tegenstanders zijn daar niet gerust op.

Naast de zorgen over wat er gebeurt als de technologie in verkeerde handen komt, zijn sommige medewerkers ook bang dat Apple door deze keuze zijn reputatie op het gebied van privacybescherming kwijtraakt.

Verschillende privacyorganisaties hebben al hun zorgen geuit en schreven een brief waarin ze Apple op roepen de plannen voor de fotoscan niet door te zetten. 

Alles bij de bron; Tweakers


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha