Software & Algoritmes

Snapix, Quick Upload, Snapbox en andere third-party applicaties die geschikt zijn voor gebruik met Snapchat lekken mogelijk persoonlijke gegevens. Will Strafach, een medewerker van de Sudo Security Group, ontdekte dat deze apps je inloggegevens versturen over een niet-versleutelde verbinding. Dat betekent dat je Snapchat-wachtwoord en -username voor de ontwikkelaars van de apps zichtbaar zijn.

De apps worden door veel mensen gebruikt omdat ze functies bieden die niet in de officiële Snapchat-app zitten. De zwakke plek werd ontdekt in de iPhone-versie van de apps, maar vermoedelijk zijn ook third-party Android-apps slecht beveiligd.

Snapchat kampte in 2014 al eens met grote hoeveelheden data van gebruikers die plotseling op straat kwam te liggen. Foto's en video's van gebruikers die externe applicaties gebruikten werden in grote getale geupload. De dienst waarschuwde toen al tegen het gebruik van third-party applicaties: "Pas op, want je geeft een ontwikkelaar, die wellicht een crimineel is, toegang tot jouw informatie!" aldus een medewerker van Snapchat destijds.

Alles bij de bron; GSMInfo


Een bericht van een 'onderzoek' van Vulnerability Labs dat het mogelijk zou zijn om toegang tot een iPhone of iPad te krijgen door gebruik te maken van kwetsbaarheden in links vanuit de klok- evenementenkalender of Siri-interface, blijkt onjuist. 

De melding was dat in iOS 9.0, 9.1 en 9.2.1 verschillende kwetsbaarheden waren ontdekt. Bij fysieke toegang tot een iPhone of iPad zou het mogelijk zijn de toegangscode te omzeilen door gebruik te maken van kwetsbaarheden in links vanuit de klok-, evenementenkalender- of Siri-interface....

...Naar nu blijkt werkt de methode alleen als de gebruiker Siri activeert met een vinger die al bij Touch ID geregistreerd is, meldt Mac Rumors. Het proces uitvoeren zonder een van te voren ingevoerde vingerafdruk, opent de iTunes-store niet. Derhalve lijkt de melding van Vulnerability Labs vals alarm.

Alles bij de bron; Tweakers


Skycure, een beveiligingsbedrijf, heeft tijdens een presentatie op de RSA Conference, een beveiligingscongres dat in San Francisco, uit de doeken gedaan hoe kwaadwillenden een Android-apparaat kunnen overnemen door een laag over de interface te leggen waardoor gebruikers in feite ergens anders op klikken dan zij denken. Hierdoor kunnen allerlei permissies aangezet worden.

Op zijn blog stelt het beveiligingsbedrijf dat malwaremakers een app, bijvoorbeeld een spelletje, kunnen maken die op de achtergrond kliks gebruikt om andere dingen te doen dan de gebruiker voor ogen had. Dat komt omdat het mogelijk is een schil over het besturingssysteem te leggen; met deze grafische overlay lijkt het dan alsof de gebruiker in het spelletje klikt, terwijl er op de achtergrond bijvoorbeeld allerlei settings aangezet worden. Dit wordt ook wel 'clickjacking' genoemd.

Door de kwaadwillende app toegang te laten krijgen tot de Accessibility Services is het onder andere mogelijk om persoonlijke informatie te vergaren, bijvoorbeeld uit e-mails en andere berichten. Alhoewel het hier dus gaat om een voorbeeld van Skycure, zijn er wel voorbeelden van malware die dergelijke clickjacking-methodes gebruiken. De kwetsbaarheid voor dergelijke aanvallen zit volgens Skycure in Android-versies 2.2 tot en met 4.4. 

Alles bij de bron; Tweakers


Eerder waarschuwde de ACLU al voor de gevolgen van de uitspraak van de rechter. "Als Apple gedwongen wordt om een besturingssysteem voor de overheid digitaal te signeren, zou dit één van de belangrijkste ontwikkelingen op het gebied van digitale veiligheid van de afgelopen jaren ondermijnen", aldus Noa Yachot. Ze wijst naar de aanwezigheid van automatische updates die in steeds meer producten aanwezig zijn. "Dit is een fantastische manier om ervoor te zorgen dat kwetsbaarheden zo snel als mogelijk kunnen worden gepatcht en dat we allemaal veilige apparaten kunnen gebruiken die immuun voor aanvallen zijn", zo laat ze weten.

"Maar als de overheid een precedent schept om een bedrijf te dwingen een update uit te rollen waarvan het weet dat het eigenlijk malware is, zullen gebruikers automatische updates niet meer vertrouwen. Hoe kan iemand nog een update van Apple vertrouwen als iedereen weet dat de overheid mogelijk kwetsbaarheden aan de nieuwe software toevoegt, zelfs als het door Apple is gesigneerd." Yachot stelt dat hierdoor beveiligingslekken niet meer worden gepatcht, waardoor er een 'optimale omgeving' voor hackers en spionnen ontstaat.

Alles bij de bron; Security


De virusscanner geeft een false positive, waardoor meer dan de helft van het internet niet bereikbaar lijkt. De problemen lijken voor te komen in de meest recente versie van het beveiligingsprogramma, 5.0.2237.1. Die update werd maandag uitgerold onder zowel zakelijke als individuele gebruikers.

Door een 'false positive' in het systeem worden veel websites niet geladen. Gebruikers krijgen dan de melding te zien dat "de verbinding moet worden geherinitialiseerd". ESET heeft nog niet gereageerd op de problemen.

Alles bij de bron; CompIdee


'Als Apple zegt dat de FBI Apple probeert te dwingen een backdoor in te bouwen in zijn producten, zegt het eigenlijk dat de FBI Apple probeert te dwingen een backdoor te gerbuiken die al bestaat.'

Dat betoogt Leif Ryge, artiest, hacker en journalist te Berlijn, in een bijdrage op Ars Technica. In alle opwinding over de strijd tussen Apple en de FBI ziet bijna iedereen volgens hem één feit over het hoofd: de ultieme backdoor bestaat al, en we noemen 'em software update. Software-ontwikkelaars doen in veel gevallen pas enkele jaren pogingen om de authenticiteit van updates van hun software te waarborgen en zelfs in gevallen waar men daar al decennia werk van maakt, zijn er in de meeste gevallen 'verwoestende single points of failure', aldus Ryge.

In de meer geavanceerde methoden van beveiliging van updates zullen meerdere sleutels nodig zijn om een update te valideren maar omdat die sleutels gecontroleerd worden door één bedrijf, of zelfs één persoon, vormen die toch een 'single point of failure', meent Ryge.  

Deze kwetsbaarheid is een combinatie van naïviteit en overmoed, vermoedt Ryge. Softwareontwikkelaars dachten dat ze hun sleutels geheim konden houden tegen realistisch geachte aanvallen, en waren er niet op bedacht dat hun overheden hun zouden kunnen dwingen om updates te ondertekenen met kwaadaardige inhoud. In die zin moeten we de FBI dankbaar zijn dat deze ons gewezen heeft op dit gevaar, stelt Ryge. Want wat de overheid langs wettelijke weg kan proberen af te dwingen, kunnen criminele organisaties natuurlijk ook proberen te doen door mensen bij de softwarebedrijven onder druk te zetten.

Wat softwarebedrijven moeten doen stelt Ryge: zorg dat voor het valideren van een update meerdere sleutels nodig zijn waarvan de zeggenschap verdeeld is over mensen die niet onder hetzelfde rechtssysteem vallen. 

Alles bij de bron; AutomGids


Niets vermoedende klanten die Windows 10 hebben geïnstalleerd, zien sinds kort advertenties verschijnen op hun beeldscherm als dat in de vergrendelstand schiet. Deze week is dat een advertentie met een beeltenis van Lara Croft eerder was het een advertentie voor een film van de Minions.

Dat presenteren van advertenties is een standaard functie, blijkt nu. Maar die functie kun je ook uitschakelen. Dat doe je in het Instellingenmenu bij Personalisatie en vervolgens Vergrendelscherm. Daar moet je het vinkje weghalen in de checkbox waarmee je toestemming geeft om 'leuke weetjes, tips, trucs en meer' op je vergrendelscherm te projecteen. 

Alles bij de bron; AutomGids


Voormalig Mozilla-topman Brendan Eich heeft de eerste versie van zijn nieuwe browser Brave voor iOSgelanceerd. Brave is een browser die privacy centraal stelt. Het beschikt over een ingebouwde adblocker alsmede HTTPS Everywhere en blokkeert daarnaast trackingpixels en -cookies. 

Volgens de ontwikkelaars heeft Brave als doel om alles op het web te blokkeren dat de privacy van gebruikers in gevaar brengt. HTTPS Everywhere zorg ervoor dat websites direct via https worden benaderd als de website over een https-versie beschikt. Tenslotte blokkeert de browser trackingpixels en -cookies die internetgebruikers over het web volgen.

Brave is open source en via de App Store voor iOS beschikbaar. Een versie voor Android moet nog verschijnen. Voor Windows [64-bits] en Mac OS X is er een ontwikkelaarsversie te downloaden.

Alles bij de bron; Security


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha