Software & Algoritmes

De Carnegie Mellon-universiteit heeft een app ontwikkeld die op basis van de privacyvoorkeuren van gebruikers aanbevelingen doet over specifieke toestemmingen voor applicaties. Dit om het effectiever regelen van app-toestemmingen mogelijk te maken.

De applicatie, genaamd Privacy Assistant, loopt na installatie een korte vragenlijst door met de gebruiker. Daarmee wordt geïnventariseerd of de gebruiker het bijvoorbeeld goed vindt als een sociale media-app toegang heeft tot de camera, of een bankier-app de locatie van de gebruiker mag weten. Na in kaart te hebben gebracht wat de gebruiker precies wil op het gebied van privacy, wordt een lijst met aanbevelingen samengesteld. De gebruiker kan direct alle aanbevelingen toepassen. Daarom is wel root vereist; dit zijn systeeminstellingen. Ook na de eerste set-up, tijdens het dagelijks gebruik, komt Privacy Assistant indien nodig met aanbevelingen.

De applicatie scant volgens The Verge de broncode van de geïnstalleerde applicaties om vast te stellen of een toestemming nodig is voor de app om te functioneren of dat dit gebruikt wordt voor doeleinden als analytics of advertenties.

Alles bij de bron; Tweakers


 

Microsoft is druk bezig met het voorbereiden van een nieuwe grote update aan Windows 10. De Creators Update staat gepland om in april te worden uitgerold en bevat allerhande verbeteringen aan onder andere Edge en Windows Updates. 

De privacy van Windows 10 wordt al bekritiseerd sinds de initiële uitrol van het OS. Microsoft eigent zich erg veel rechten toe wat betreft het verzamelen van privégegevens. Wanneer je bijvoorbeeld tijdens de installatie van het besturingssysteem voor de express-instellingen kiest, zullen de privacy-instellingen standaard in het voordeel van Microsoft worden aangepast. Zelfs wanneer je de opties één voor één hebt overlopen, is het echter niet volledig duidelijk hoeveel data Microsoft over jou verzamelt. Het bedrijf belooft hier verandering in te brengen met de Creators Update...

...Jammer genoeg gaat Microsoft er niet dieper op in welke data het juist nodig acht om de werking van Windows te garanderen. Hierdoor weet je nog altijd niet welke gegevens het bedrijf nu juist verzamelt. Wel verzekert Microsoft dat het de verzamelde gegevens niet zal gebruiken om gepersonaliseerde advertenties aan te bieden; een praktijk waaraan Google het merendeel van zijn omzet te danken heeft.

Alles bij de bron; TechPulse [Thnx-2-Luc]


 

In veel mobiele apps bevinden zich onnodig encryptiesleutels of geheime data die misbruikt kunnen worden om data te lekken. Dat blijkt uit onderzoek van beveiliger Fallible.

Fallible ontwikkelde vorige jaar een tool voor geautomatiseerde reverse engineering van Android-apps. Inmiddels zijn zeker 16.000 apps hiermee onderzocht. Daaruit blijkt dat in 2500 van deze apps hard coded keys of geheimen zijn te vinden. Ze kunnen data lekken die betrekking hebben op een groot aantal populaire online diensten zoals Twitter, Dropbox, Flickr, Uber en Amazon Web Service. Zulke lekken kunnen zeer schadelijk zijn voor zowel de gebruiker als de getroffen organisatie, benadrukken de onderzoekers van Fallible.

In 304 van de gecontroleerde apps bevinden zich keys en geheime informatie die tot grote schade kunnen leiden. Fallible laat weten dat dat de geheime informatie die zij aantrof in deze apps varieert van inloggegevens voor AWS waarmee volledige toegang gekregen kan worden tot API-geheimen bij van onder meer Uber, Twitter, Dropbox en Instagram.”

Alles bij de bron; AGConnect [Thnx-2-Dick]


 

Microsoft lanceert een privacydashboard waarbij gebruikers meer controle krijgen over welke informatie er van hen verzameld wordt. Denk aan locatie, zoekgeschiedenis en data binnen verschillende Microsoft-diensten. Het nieuwe privacysysteem komt in de vorm van een web-based dashboard. Met dit nieuwe dashboard kunnen gebruikers van Microsoft-diensten hun privacyinstellingen aanpassen en verzamelde informatie weer verwijderen. Onder andere voor de persoonlijke assistent Cortana, zoekmachine Bing, de Edge-browser en locatiediensten.

Uit onderzoek van Microsoft blijkt dat gebruikers meer behoefte hebben aan inzicht in hun verzamelde privacygegevens. Door gemakkelijk in te loggen met je Microsoft account op het online dashboard, kun je de instellingen bewerken van onder andere je zoekgeschiedenis, maar ook de gegevens die worden opgeslagen via Microsoft Health en HealthVault.

Alles bij de bron; Numrush [Thnx-2-Luc]


 

Een groot deel van de Nederlandse apparaten met een Android-besturingssysteem zit vol beveiligingslekken. Soms zijn gebruikers zelfs al kwetsbaar voor hackers en cybercriminelen op het moment dat ze de winkel uitlopen. Hoe dat komt ?

Een belangrijke oorzaak van het probleem van verouderde software is het proces dat Android gebruikt om updates te leveren. Android is namelijk — in tegenstelling tot iOS, waar Apple zelf de software maakt en rechtstreeks aan gebruikers levert — ontworpen als een 'open' ecosysteem. Dat wil zeggen dat iedereen in principe zijn eigen aangepaste versie van het product kan maken. Fabrikanten van smartphones doen dit veelvuldig, deels om ervoor te zorgen dat de software goed werkt op hun apparaten, deels om hun eigen 'sausje' mee te leveren.

Dit heeft echter tot gevolg dat fabrikanten iedere software-patch en nieuwe versie van het besturingssysteem zelf moeten aanpassen voor al hun toestellen. Bedrijven als Samsung, LG en Huawei brengen elk jaar veel verschillende modellen smartphones uit. Het resultaat: toestellen ontvangen nieuwe Android-versies over het algemeen pas maanden nadat deze uitkomen, en de tijd dat er beveiligingsupdates worden geleverd is beperkt. Goedkopere toestellen en modellen van vorig jaar krijgen de updates vaak zelfs helemaal niet.

Fabrikanten zijn niet de enige factor in het probleem. Een aantal telecomproviders — zoals T-Mobile en Vodafone in Nederland — past de Android-software namelijk ook nog eens aan. Dit doen ze bijvoorbeeld om hun eigen applicaties en logo’s mee te leveren, of om de telefoon van een simlock te voorzien. Hierdoor ontstaat er nóg een 'tussenstation' alvorens een nieuwe versie van Android de eindgebruiker bereikt, met extra vertraging als gevolg.

De telecombedrijven verkopen ondertussen ook doodleuk telefoons met sterk verouderde software aan hun klanten. Zo kun je bij KPN bijvoorbeeld een smartphone van het type HTC Desire 620 bestellen deze telefoon draait op Android versie 4, waar geen update naar een nieuwere versie voor beschikbaar is, en dat die er hoogstwaarschijnlijk ook nooit gaat komen — hartstikke onveilig dus. Ook de Samsung Galaxy S6 is bij KPN te koop. Als je deze smartphone vandaag aanschaft, ontvang je hooguit nog een paar maanden updates. En daar zit je dan contractueel twee jaar aan vast.

KPN is bij lange na niet de enige provider die telefoons met verouderde software verkoopt. Zo kun je bij Vodafone en T-Mobile de Samsung Galaxy J3 krijgen. Voor dit toestel — tevens de bestverkochte Android-telefoon op Bol.com — bestaat in Zuid-Korea al sinds mei 2016 een update naar Marshmallow, maar in Nederland is die vooralsnog niet beschikbaar. Het is weinig verrassend: van de 86 door de Consumentenbond geteste Android-telefoons die in Nederland 'goed verkrijgbaar' zijn, worden er 38 geleverd met verouderde versies van Android.

Wat kun je nu als Android-gebruiker zelf doen? Veel beveiligingslekken zitten in de webbrowser. Gebruik dus niet de standaard Android-browser, maar een alternatief, zoals Google Chrome of Firefox for Android (gratis te downloaden in de Google Play Store). Spyware, de programma’s waarmee hackers je telefoon afluisteren, zit ook vaak verpakt in onschuldig ogende Android-apps. Installeer dus alleen apps die je vertrouwt. Tot slot: op deze website kun je lezen hoe je jezelf beschermt tegen de Stagefright-bug.

Alles bij de bron; FTM


 

Het Russische softwarebedrijf Elcomsoft heeft nieuwe software uitgebracht waarmee het voor opsporingsdiensten mogelijk is om in real-time het surfgedrag van iOS-apparaten zoals iPhones en iPads uit te lezen, zonder dat het apparaat in kwestie moet worden ontgrendeld.

Naast periodieke cloudback-ups synchroniseert Apple verschillende soorten data van iOS-apparaten via iCloud. Zo kunnen iPhones bijvoorbeeld informatie over telefoongesprekken en FaceTime-gesprekken een paar minuten na het gesprek naar iCloud sturen Naast gespreksgegevens synchroniseert iOS ook de surfgeschiedenis van Safari, notities, kalenders en contacten.

"Eén van de meest interessante onderdelen van deze cloudsynchronisatie is de surfgeschiedenis. IOS-apparaten synchroniseren automatisch het surfgedrag van Safari met de cloud, waarbij informatie over openstaande tabs en algemene surfgeschiedenis worden bewaard. Net als met telefoongesprekken worden deze gegevens gedurende de dag op reguliere momenten naar iCloud gestuurd, vaak minuten nadat een gebruiker een link heeft geopend", zegt Vladimir Katalov van Elcomsoft.

Hij merkt op dat deze feature niet duidelijk door Apple wordt genoemd en er ook geen duidelijke manier is om het uit te schakelen. Als iCloud Drive op een iPhone staat ingeschakeld zal de informatie automatisch naar de server van Apple worden gestuurd. Sommige gebruikers laten echter weten dat ondanks het uitschakelen van iCloud Drive de gegevens nog steeds worden verstuurd.

Volgens Katalov is de kans dat een crimineel coudsynchronisatie heeft ingeschakeld veel groter dan dat hij regelmatig cloudback-ups maakt. In het geval van de San Bernardino-schutter bleek de laatste iCloudback-up maanden oud te zijn. Daarnaast worden de surfgegevens vaak minuten na de activiteit gesynchroniseerd, in tegenstelling tot iCloudback-ups die op z'n best dagelijks worden gemaakt. Om de gegevens van de gebruiker in de cloud uit te lezen moet er wel over het Apple ID en wachtwoord of iCloud-authenticatietoken worden beschikt. De functie is nu toegevoegd aan Elcomsoft Phone Breaker 6.30. De software is zowel beschikbaar voor thuisgebruikers, professionals als forensische onderzoekers, maar de uitleesfunctie voor de cloud is alleen in de "forensic edition" beschikbaar (pdf).

Bron; Security


 

Chris O'Neil, CEO van Evernote, heeft gisteravond laten weten toch maar af te zien van deze wijziging. "Vertrouwen is het hart van onze dienst. Dat betekent dat wij transparant moeten zijn en onze fouten moeten toegeven. Zowel over de manier hoe deze app werkt als de manier waarop wij communiceren met onze gebruikers."

Het bedrijf laat in een blogpost weten dat het erg veel feedback heeft ontvangen van bezorgde gebruikers over de nieuwe privacy policy en het bedrijf heeft daarom besloten daar van af te zien.

"Evernote heeft z'n inzet om privacy het middelpunt te laten zijn versterkt en wij zullen de nieuwe privacy policy daarom niet implementeren. Wij zullen in plaats daarvan de komende maanden onze bestaande privacy policy wijzigen en zo de zorgen van onze consumenten wegnemen. Wij zullen onze machine learning-technologieën beschikbaar maken voor onze gebruiker, maar er zullen geen medewerkers zijn die de notities zullen inzien tenzij zij daarvoor kiezen in de vorm van een opt-in."

Alles bij de bron; WebWereld


 

Twitter heeft overheden de toegang tot analysesoftware Dataminr geblokkeerd, omdat die werd gebruikt voor surveillance. 

Zogenoemde datadeelcentra (fusion centers) van overheden gebruikten Dataminr om inlichtingen te verzamelen over gebruikers op Twitter, ontdekte de Amerikaanse mensenrechtenorganisatie ACLU. Dat is in strijd met het beleid en de accounts zijn daarom geblokkeerd, schrijft Twitter in een brief aan de organisatie.

Volgens onderzoekers van ACLU gebruikten overheidsdiensten Dataminr om demonstranten, journalisten en anderen in de gaten te houden. Ook zou de software worden gebruikt voor het profileren van verdachte personen. Zeker een fusion center in Californië had toegang tot de zogenoemde geospatial analysis application van Dataminr. Daarmee konden mensen in bepaalde gebieden worden gevolgd.

Twitter heeft de overheidsdiensten op de hoogte gesteld dat ze geen toegang meer hebben tot de dienst. Ze kunnen alleen nog gebruikmaken van Dataminr voor het ontvangen van nieuwsalerts. Eerder zorgde Twitter ervoor dat de Amerikaanse geheime dienst CIA en opsporingsdienst FBI geen datasets meer van Twitter konden kopen via Dataminr.

Alles bij de bron; NU


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha