De desktopapplicatie van Microsoft Teams slaat tokens lokaal op in plaintext, dat melden beveiligingsonderzoekers van het bedrijf Vectra. Het gaat om authenticatie-tokens, waarmee ingelogd kan worden op een account van een slachtoffer.
Het beveiligingsbedrijf noemt het een gevaarlijk beveiligingsricisio, omdat met de verkregen tokens ook op een account ingelogd kan worden als dat is beveiligd met tweetrapsauthenticatie. Zeker als de tokens van een hooggeplaatste medewerker binnen een bedrijf worden gestolen.
Volgens Microsoft is het niet zo'n groot risico, omdat een aanvaller toegang zou moeten krijgen tot het netwerk van het slachtoffer, "De beschreven techniek komt bij ons niet in aanmerking voor een acute fiks, omdat een aanvaller eerst toegang tot het netwerk van het slachtoffer moet krijgen. We waarderen wel dat Vectra Protect dit heeft geïdentificeerd en op een verantwoordelijke wijze heeft gemeld. We zullen overwegen dit mee te nemen voor een toekomstige productrelease".
Tot Microsoft met een oplossing komt, adviseert Vectra om de browserversie van Microsoft Teams te gebruiken. Deze beschermt volgens het bedrijf beter tegen het lekken van de tokens.
Alles bij de bron; Tweakers
Werknemers van Google en Amazon protesteren tegen een deal die de techbedrijven sloten met de Israëlische overheid.
‘Project Nimbus’ is een project van 1,2 miljard dollar waarbij de techgiganten aan een nieuwe digitale infrastructuur bouwen in opdracht van de Israëlische regering. De angst van een aantal Google-werknemers is dat Project Nimbus het straks eenvoudiger maakt voor het Israëlische leger om de Palestijnse bevolking te bespioneren.
Donderdag protesteren Amazon- en Google-werknemers voor hun kantoren in Seattle, New York en San Francisco tegen Project Nimbus. Een petitie waarin werknemers hun bedrijven oproepen de contracten te verscheuren is inmiddels door zevenhonderd medewerkers ondertekend...
...Voor Google en Amazon zijn de protesterende werknemers een ingewikkelde kwestie. Een jong, progressief deel van de werkvloer verwacht dat Google maatschappelijk bewustzijn verkiest boven winstmaximalisatie. Alle grote techbedrijven kampen met werknemers die met protestacties hun management proberen te dwingen meer te doen tegen klimaatverandering, mensenrechtenschendingen, racisme of seksuele intimidatie.
Tot frustratie van Google-werknemers zijn de Defensie-projecten zoals Project Nimbus met geheimzinnigheid omgeven. Volgens Google helpt het project om Israël „digitaal te transformeren op het gebied van financiën, gezondheidszorg, transport en onderwijs”. Maar uit een uitgelekte Google-presentatie bleek dat Israël ook de beschikking krijgt over Googles geavanceerde gezichtsherkenningssoftware.
Google en Amazon zijn ondertussen druk op zoek naar nieuwe manieren om hun omzet te blijven vergroten. Daarbij richten de techgiganten zich op twee zeer lucratieve markten: de gezondheidszorg en overheidscontracten. Daarbij strijden vooral Microsoft, Amazon en Google om de miljardendeals.
Zo werken de drie bedrijven onder meer aan een groot dataproject voor de CIA. De Amerikaanse overheid koos in februari dit jaar Google als een belangrijke partner van het ministerie van Defensie, dat zichzelf tot doel heeft gesteld met hulp van Silicon Valley het leger te moderniseren.
Alles bij de bron; NRC [Thnx-2-Niek]
Een ontwikkelaar heeft een app voor Linux gemaakt die piepjes laat horen op het moment dat een website, programma of dienst data naar Google verstuurt. In de praktijk blijkt de 'Googerteller' behoorlijk vaak af te gaan.
Googerteller laat een geluid horen dat klinkt als een geigerteller op het moment dat er op wat voor manier dan ook data naar Google-servers worden gestuurd. Dat gebeurt bijvoorbeeld iedere keer als een website verbinding legt met de veelgebruikte tool Google Analytics. Hubert maakte daarbij gebruik van een openbare lijst van IP-adressen die Google gebruikt.Adressen die naar Google Cloud-diensten worden gelinkt zijn daarvan uitgezonderd.
De app is gebouwd door Bert Hubert en hij zette de broncode van Googerteller op GitHub. Op Twitter staat een korte demo over hoe de software werkt.
Hubert bezoekt daarbij een vacaturesite van de Nederlandse overheid en krijgt daarbij regelmatig een buzz te horen, zelfs als hij alleen maar een url intypt of een menu uitklapt. Dat gebeurt volgens hem niet alleen in Google-browser Chrome, maar ook in Firefox.De software werkt alleen nog op Linux, al zijn er andere hackers die de tool op macOS aan de gang kregen.
Alles bij de bron; Tweakers
Apple heeft woensdag een update beschikbaar gesteld voor iPhones en iPads met iOS 15 en MacBooks van de vijfde of een latere generatie. De update moet twee kwetsbaarheden verwijderen, omdat die door kwaadwillenden misbruikt kunnen worden.
De ene kwetsbaarheid zit in de technologie achter de webbrowsers bij de Apple-apparaten. Met dat lek kunnen hackers codes uitvoeren wanneer gebruikers een schadelijke website bezoeken. Met de andere kwetsbaarheid krijgen de aanvallers meer controle over het apparaat.
Daarom is het belangrijk dat iPhones en iPads met iOS 15 snel worden geüpdatet naar versie 15.6.1, zegt Apple.
Alles bij de bron; NU
Ethisch hacker Thijs Alkemade heeft een groot lek gevonden in een functionaliteit van het Apple-besturingsysteem MacOS. Via die kwetsbaarheid konden kwaadwillenden met één applicatie toegang krijgen tot de rechten van andere applicaties en deze misbruiken.
Het gaat om een zogenoemde ‘process injection vulnerability’ waarmee alle op MacOS AppKit-gebaseerde applicaties kwetsbaar waren en toegang boden tot andere applicaties en het systeem zelf.
De kwetsbaarheid zat in een tien jaar oude toepassing de ‘saved state’-functie. Daarmee biedt het systeem bij het afsluiten aan om openstaande vensters opnieuw te openen zodra het systeem weer opstart.
Alkemade roept softwareleveranciers op om bij updates niet alleen te focussen op nieuwe functionaliteiten, maar ook te letten op kwetsbaarheden in oude toepassingen. Hij vindt het begrijpelijk dat functies die lang geleden zijn ontwikkeld niet altijd zijn berekend op de technologie van vandaag. ‘Eigenlijk zou je ook regelmatig het systeem in zijn geheel moeten onderzoeken.’
Alles bij de bron; Computable
Chinese internetconcerns zoals Tencent en ByteDance (TikTok) hebben voor het eerst details van de algoritmen achter hun diensten met de Chinese autoriteiten gedeeld. Officieel is het doel om gegevensmisbruik in te dammen, maar het kan uiteindelijk leiden tot het compromitteren van goed bewaakte bedrijfsgeheimen.
De Chinese internettoezichthouder CAC publiceerde vrijdag een lijst met 30 algoritmen die internetbedrijven - waaronder ook Alibaba Group en Meituan - gebruiken om gegevens over gebruikers te verzamelen, persoonlijke aanbevelingen op maat te maken en content te presenteren. Hoewel de openbare lijst de eigenlijke code niet onthult, was niet duidelijk in hoeverre internetbedrijven hun onderliggende software mogelijk privé aan Chinese instanties hebben onthuld.
De algoritmen die bepalen welke TikTok-video's, WeChat-berichten en Instagram-foto's gebruikers zien, worden beschouwd als cruciaal om de aandacht van gebruikers te trekken en groei te stimuleren.
China heeft in maart regelgeving aangenomen die internetbedrijven verplicht om dergelijke tools openbaar te maken. Dit zou een poging zijn om klachten over gegevensmisbruik op te pakken en regelgevers te helpen om internetbedrijven strakker in de gaten te houden.
Volgens de regelgeving moeten bedrijven ook niet-openbare informatie indienen bij de CAC, waaronder een zelfbeoordeling van de veiligheid van de algoritmen, de gegevens die ze verzamelen, of dat gevoelige biometrische of identiteitsinformatie omvat, en welke gegevensbronnen worden gebruikt om te trainen algoritmen. De CAC - die de richtlijnen samen met het ministerie van Industrie en Informatietechnologie, het ministerie van Openbare Veiligheid en de staatsadministratie voor marktregulering uitvaardigde - zei dat het de lijst zal blijven bijwerken.
"De informatie die door de bedrijven aan de CAC wordt verstrekt, is veel gedetailleerder dan wat zeker is gepubliceerd, en omvat enkele zakengeheimen, die niet aan het publiek kunnen worden vrijgegeven", zei Zhai.
Alles bij de bron; DutchIT-Channel
Via Windows is het mogelijk bestanden te ontvangen en te bewerken die metadata bevatten. Dit kan een negatieve impact hebben op je privacy.
Metadata bestaat uit allerlei gegevens die je met het blote oog niet zomaar ziet. Bij foto's kan het dan bijvoorbeeld gaan om het soort camera waarmee de foto is gemaakt, op welke plaats (exacte GPS-locatie zelfs) en meer. Mogelijk wil je dat niet allemaal delen zodra je die foto op internet deelt. Weg dus met die metadata.
Hoe doe je dit precies? Gelukkig is dat geen moeilijk proces, maar je moet er wel even wat minuten aan besteden.
Alles bij de bron; ComputerTotaal
WhatsApp heeft de afgelopen dagen een aantal updates voor de app aangekondigd.
Zo wordt er onder meer een nieuwe functie geïntroduceerd waarmee gebruikers voor anderen kunnen afschermen wanneer ze online zijn. Het is al langer mogelijk om te verbergen wanneer je voor het laatst actief was op WhatsApp. Maar mensen krijgen het nog wel van elkaar te zien wanneer ze online zijn. In een gesprek is dan onder de naam van de ontvanger de tekst "Nu online" te zien. Gebruikers kunnen dat binnenkort dus aanpassen.
Zij kunnen er straks voor kiezen om hun onlinestatus alleen aan hun contactpersonen te tonen. Ook is het mogelijk om de status voor specifieke mensen te verbergen. Als mensen hun onlinestatus afschermen, kunnen ze van anderen ook niet meer zien wanneer ze actief zijn.
Alles bij de bron; NU
Tijdens de patchronde van juli heeft Oracle in een groot aantal producten in totaal 188 kwetsbaarheden verholpen. Het softwarebedrijf rolde 349 patches uit voor 188 unieke problemen, waarvan er 29 als kritiek zijn aangemerkt. Via dergelijke kwetsbaarheden kan een aanvaller systemen op afstand overnemen.
De impact van drie van de beveiligingslekken in WebLogic Server zijn op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Verder kwam Oracle ook voor verschillende producten met een update voor de Spring4Shell-kwetsbaarheid. In het geval van verschillende Oracle Communications-oplossingen is de impactscore van dit lek met een 10.0 beoordeeld.
Vanwege de dreiging van een succesvolle aanval adviseert Oracle organisaties om de beveiligingsupdates zo snel mogelijk te installeren. Oracle brengt niet maandelijks maar elk kwartaal updates uit. De volgende patchronde staat gepland voor 18 oktober 2022.
Alles bij de bron; Security
Iedere uitvoeringsorganisatie die zogenoemde profilerende algoritmes inzet, moet voldoende maatregelen nemen om mensenrechten te beschermen. Dat concludeert het Rathenau Instituut in het rapport Algoritmes afwegen. Bij het beschermen van mensenrechten kunnen uitvoeringsorganisaties gebruik maken van burgerpanels, ethische commissies en een normenkader.
In het kort:
Alles bij de bron; Rathenau