Software & Algoritmes

Beveiligingsonderzoeker Will Strafach meldt dat als iOS-gebruikers hebben ingesteld dat AccuWeather geen toegang krijgt tot de gps-locatiegegevens wanneer de app niet gebruikt wordt, er toch data wordt verzameld zoals de naam van de router of de bssid. Daarmee wordt alsnog informatie doorgestuurd waarmee de locatie kan worden bepaald, zij het minder precieze. Volgens de onderzoeker gaat dit verder dan de gemiddelde mate van data die andere apps verzamelen.

Als de gebruiker toestemming geeft om locatiedata te verzamelen, dan worden naast de bssid ook de exacte gps-gegevens en de status van de bluetooth-verbinding doorgestuurd. Deze gegevens worden volgens Strafach doorgestuurd naar een derde partij, een bedrijf genaamd RevealMobile. Dit bedrijf zegt op zijn eigen website dat het uitgevers en mediabedrijven helpt om maximale waarde te halen uit locatiedata. 

Volgens Engadget is deze gang van zaken bij AccuWeather mogelijk in strijd met de ontwikkelaarsovereenkomst van Apple, waarin staat dat het gebruik van een wifinetwerk niet mag worden geanalyseerd en doorgestuurd als deze optie door de gebruiker is uitgeschakeld. Vooralsnog heeft Apple noch AccuWeather gereageerd op een verzoek om commentaar.

Deze situatie speelt niet zozeer op Android-toestellen, mits de gebruiker Android 6.0 of hoger gebruikt. 

Alles bij de bron; Tweakers


 

Nintendo heeft met Super Mario Run zijn eerste spel voor de smartphone uitgebracht. Door op het juiste moment het scherm aan te raken moet je Mario over de finish proberen te krijgen. Je wil daarbij zoveel mogelijk muntjes verzamelen, maar verzamelt Nintendo tegelijkertijd zoveel mogelijk gegevens van jou als speler?

Bij het installeren van Super Mario Run valt op dat het installatiemenu in het Nederlands wordt weergegeven. Dit terwijl je nog geen toestemming hebt kunnen geven voor verwerking van je taalinstelling. Pas nadat je de mogelijkheid hebt gehad de app ook te koppelen aan andere accounts, krijg je de kans akkoord te gaan met de licentievoorwaarden en het privacybeleid van Nintendo.

Het is positief dat concreet wordt aangegeven welke gegevens worden verzameld. Zo wordt zelfs aangehaald dat wanneer personen je blokkeren, jouw gegevens apart worden geregisterd om die blokkade te handhaven. Wat de opslagtermijn betreft: er wordt aangegeven dat persoonsgegevens zolang worden bewaard als wettelijk is toegestaan.

Volgens de makers van de Mario-app is een internetverbinding noodzakelijk om het spel ‘in een stabiele omgeving’ te kunnen spelen en om piraterij te voorkomen. Wat niet moet worden vergeten is dat gebruikers van de app online meer gegevens aan Nintendo overdragen dan ze offline zouden doen. Via Super Mario Run kunnen locatiegegevens of gegevens over internetverbindingen namelijk realtime worden bijhouden. Dit maakt dat een scherper en actueler beeld kan worden geschetst van de gebruikers. Zo kan Nintendo op elk moment gevoelige persoonsgegevens zoals een looppatroon van iemand vaststellen en dat weer gebruiken om de app te perfectioneren. Hierdoor worden persoonsgegevens waardevoller voor Nintendo wat ten koste kan gaan van de privacy van de spelers.

In het privacybeleid staat dat je persoonlijke gegevens te allen tijde vertrouwelijk worden behandeld, ook in Amerika omdat de ‘Safe Harbour Principles’ worden naleeft. Alleen is het probleem dat Safe Harbour al een ruime tijd buiten toepassing is verklaard door het Hof van Justitie. Het is niet helder op welke manier persoonsgegevens in de vestiging in Amerika alsnog voldoende worden beschermd.

Concluderend zou Nintendo er goed aan doen de (tracking)cookies van Google op de site van het privacybeleid enigszins te beperken. De bewaartermijn van persoonsgegevens moet in het privacybeleid daarnaast concreter worden vastgesteld. Om spelers minder als gegevensbaken te laten fungeren, zou Nintendo de mogelijkheid voor het offline spelen van Super Mario Run beter kunnen onderzoeken ten behoeve van de privacy. Ouders moeten tevens beter door Nintendo worden geïnformeerd over het beleid van gegevensverwerking rond minderjarige kinderen. Het privacybeleid rond uitwisseling van gegevens is deels verouderd en via user-generated content kun je Nintendo een licentie geven op jouw persoonlijke content. Het privacybeleid van Super Mario Run scoort dan ook niet genoeg punten. Nintendo moet het doen met een negatief eindoordeel op de privacymeetlat.

Alles bij de bron; PCM


 

Onderzoekers van de Polytechnische Universiteit van Milaan en het beveiligingsbedrijf Trend Micro hebben een lek ontdekt in de can-standaard, die onder meer in auto's wordt toegepast. Dit is volgens hen niet te patchen en kan misbruikt worden om dos-aanvallen uit te voeren op autosystemen.

Communicatie op het can vindt plaats door middel van berichten die ook wel 'frames' worden genoemd. De onderzoekers schrijven dat ook foutmeldingen hiervan gebruikmaken. Een foutmelding komt voor als een apparaat op het netwerk een waarde leest die niet overeenkomt met de verwachte waarde. In dat geval kan het desbetreffende frame teruggeroepen worden, waardoor het genegeerd wordt. Het kan echter ook voorkomen dat een apparaat te veel fouten produceert. In dat geval wordt dat apparaat in een 'bus off'-status geplaatst, waardoor het is afgesloten van het netwerk. De aanval richt zich op deze functionaliteit, die ervoor moet zorgen dat een defect apparaat wordt geïsoleerd.

De onderzoekers noemen in dezelfde paper een aantal mogelijke aanvalsscenario's, zoals het uitschakelen van actieve veiligheidssystemen, bijvoorbeeld het automatisch remmen bij collisiedetectie. Daarnaast zou het in bepaalde auto's mogelijk zijn om een dos-aanval op het gaspedaal uit te voeren, waardoor de bestuurder de auto niet meer kan verplaatsen. Een derde scenario beschrijft het voorkomen van het afsluiten van de deuren, waarvoor binnen enkele minuten een exploit te schrijven zou zijn.

Om de aanval uit te voeren is fysieke toegang vereist. Daarover zeggen de onderzoekers in een technische paper dat het vooral bij auto's vaker voorkomt dat iemand fysieke toegang heeft, bijvoorbeeld bij reparaties, het uitlenen van een auto of het voertuig door iemand anders laten parkeren. Daar komt bij dat de kwetsbaarheid ook op afstand is uit te voeren als een ander lek toegang geeft tot de ecu van een auto. Charlie Miller, een onderzoeker die betrokken was bij de Jeep-hack in 2015, zegt dat hij het uitvoeren van een hack op afstand zeer moeilijk acht.

De onderzoekers stellen dat, hoewel hun onderzoek zich op auto's richt, er ook gevolgen zijn voor andere sectoren waarin de can-standaard wordt toegepast. Bijvoorbeeld in treinen, de luchtvaart, maritieme toepassingen, gebouwautomatisering en ziekenhuizen. Het Amerikaanse Cert heeft al eerder voor de kwetsbaarheid gewaarschuwd.

Alles bij de bron; Tweakers


 

Sinds WhatsApp in 2014 werd overgenomen door Facebook, maken sommige gebruikers zich zorgen over hun privacy. Kan Facebook alles meelezen, verzamelen ze informatie over je? Daarom bespreken we in deze gids hoe het zit met je privacy op WhatsApp. 

Als eerste: je hebt zelf controle over een groot deel van je privacy binnen de app, doordat je diverse instellingen kunt aanpassen. Standaard is voor al je WhatsApp-contacten zichtbaar wanneer je de app voor het laatst hebt geopend. Ook kunnen zij zien of je hun berichten gelezen hebt, dankzij de blauwe vinkjes. Je profielfoto is ook door al je WhatsApp-contacten te bekijken. Al deze functies kun je echter uitschakelen of beperken.

Je kunt de opties hiervan terugvinden door in WhatsApp naar Instellingen > Account > Privacyte gaan. In deze gids kun je alle details lezen over hoe je blauwe vinkjes uitzet en we hebben ook een tip over hoe je de laatst gezien-status kunt uitschakelen. Daarnaast heb je ook de mogelijkheid om mensen (of eigenlijk telefoonnummers) te blokkeren binnen WhatsApp.

Alles bij de bron; iCulture


 

De Walt Disney Co. Is vorige week, samen met nog drie andere bedrijven, aangeklaagd wegens het verzamelen en delen van persoonlijke informatie van kinderen zonder toestemming van ouders. Disney zou de Children's Online Privacy Protection Act (COPPA) hebben geschonden.

Disney zou de apps samen met Upsight, Unity en Kochava gemaakt hebben en toestemming hebben gegeven trackers in de apps te steken. Deze software kon op de achtergrond informatie verzamelen voor advertenties en andere commerciële doeleinden. "Disney had niet in zee moeten gaan met deze ontwikkelbedrijven. De bedrijven maken gebruik van zware technologieën die op industriële schaal individuen tracken en te gelde maken. Deze technologieën horen niet thuis in apps voor kinderen", aldus Jeffrey Chester van het Center for Digital Democracy.

Het gaat om 42 games van Disney die in samenwerking met Kochava, Upsight en Unity zijn gebouwd:

• AvengersNet • Disney Gif                  • DuckTales: Remastered            • Beauty and the Beast

• Disney Jigsaw Puzzle!                       • Frozen Free Fall                        • Perfect Match

• Disney LOL                                  • Frozen Free Fall: Icy Shot               • Cars Lightening League

• Disney Princess: Story Theater   • Good Dinosaur Storybook Deluxe   • Club Penguin Island

• Disney Store Become                  • Inside Out Thought Bubbles            • Color by Disney

• Disney Story Central                    • Maleficent Free Fall                         • Disney Color and Play

• Disney's Magic Timer by Oral-B   • Miles from Tomorrowland: Missions • Disney Crossy Road

• Disney Princess: Charmed Adventures   • Moana Island Life                 • Disney Dream Treats

• Dodo Pop • Olaf's Adventures      • Disney Emoji Blitz                             • Disney Build It Frozen

• Palace Pets in Whisker Haven     • The Lion Guard                                 • Toy Story: Story Theater

• Zootopia Crime Files: Hidden Object  • Sofia the First Color and Play     • Temple Run: Oz

• Where's My Mickey?                     • Sofia the First Secret Library            • Temple Run: Brave

• Where's My Water? 2                    • Star Wars: Puzzle DroidsTM             • Where's My Water?

• Where's My Water? Lite/Where's My Water? Free                              • Star WarsTM: Commander

 

Het gaat zowel om de Android- en iOS-apps waarvan sommige games tussen de 100 en 500 miljoen keer zijn geïnstalleerd.

Disney zegt overigens dat de aanklacht pure misleiding is en dat het de rechtszaak gaat aanvechten. "Disney geeft een robuust COPPA compliance-programma en wij hebben strikte dataverzamelings-policy voor Disney-apps voor kinderen en hun families. De klacht is gebaseerd op een fundamenteel onbegrip van de COPPA-principes en wij kijken ernaar uit deze actie aan te vechten voor de rechter," liet Disney weten in een verklaring.

Alles bij de bron; WebWereld


 

Microsoft heeft bekendgemaakt dat 71 procent van de Windows 10-gebruikers ervoor kiest om de volledige diagnostische gebruiksinformatie door te sturen. 

In april publiceerde Microsoft een gedetailleerde lijst van de gegevens die Windows 10 online doorstuurt. Ook werden er korte beschrijvingen toegevoegd van de verschillende privacyinstellingen. In maart voerde Microsoft een wijziging door, waardoor een privacymenu werd getoond bij de installatie van de Creators Update van Windows 10.

Volgens Microsoft is de introductie van een privacydashboard op het internet ook positief ontvangen; het dashboard zou al door meer dan 23 miljoen gebruikers zijn bezocht. In januari voerde het bedrijf een privacydashboard in voor het besturingssysteem, na een actie van de Zwitserse privacywaakhond FDPIC. Europese privacytoezichthouders, waaronder de Autoriteit Persoonsgegevens, startten in februari een onderzoek naar de verwerking van persoonsgegevens in Windows 10.

Alles bij de bron; Tweakers


 

Verschillende privacywaakhonden in Europa hebben in een brief aan Microsoft laten weten bezorgd te zijn over de manier waarop het bedrijf gegevens van gebruikers verzamelt en hoe deze gegevens worden gedeeld. De diverse instanties zijn verenigd in een speciaal opgerichte werkgroep, WP-29. Hierin zitten verschillende privacywaakhonden van de Europese Unie.

In een brief (pdf) uiten de toezichhouders hun zorgen over de privacybescherming in Windows 10. Ze vallen voornamelijk over het feit dat het voor de eindgebruiker niet duidelijk is welke gegevens er allemaal worden verzameld en hoe deze functies zijn uit te schakelen. In de aankomde Creators Update van Windows 10 heeft Microsoft de privacyopties wat beter bij elkaar geplaatst, waardoor het iets duidelijker moet zijn wat ze betekenen en wat er met de gegevens wordt gedaan.

De privacywaakhonden juichen de nieuwe opties toe, maar zijn wel kritisch naar wat er gebeurt met de gegevens van de huidige gebruikers van Windows 10; worden de instellingen gewoon overgenomen of krijgen zij - na de upgrade naar Creators Update - opnieuw de vraag wat er met de gegevens moet gebeuren?

Alles bij de bron; CompIdee


 

Systeembeheerders zijn het doelwit geworden van een aanval waarbij getrojaniseerde beheersoftware werd ingezet om toegang tot bedrijfsnetwerken te krijgen. Dat laat beveiligingsbedrijf RSA weten. Het betreft legitieme software die voornamelijk door beheerders van Windows-systemen wordt gebruikt en waar een backdoor aan was toegevoegd.

Om welk pakket het precies gaat heeft RSA nog niet laten weten. "Door zich te richten op een applicatie die bijna alleen door zakelijke Windows-systeembeheerders wordt gebruikt, krijgen de aanvallers direct toegang tot de meest gevoelige onderdelen van een bedrijfsnetwerk", zegt Amy Blackshaw van RSA. Volgens het beveiligingsbedrijf zou de getrojaniseerde beheersoftware slecht door standaard anti-virussoftware worden gedetecteerd.

Het rapport van RSA over de aanval staat nu ook online (pdf), alleen zijn de naam van de software en leverancier in kwestie achterwege gelaten. De software zou echter door allerlei grote organisaties, banken, overheidsinstanties, telecomaanbieders en onderwijsinstellingen worden gebruikt. Verder blijkt dat de aanvallers de website en het updatesysteem van de leverancier hebben gehackt om hun malware te verspreiden. Zo werden getrojaniseerde downloads aangeboden en besmette updates verspreid.

Alles bij de bron; Security


 

De Carnegie Mellon-universiteit heeft een app ontwikkeld die op basis van de privacyvoorkeuren van gebruikers aanbevelingen doet over specifieke toestemmingen voor applicaties. Dit om het effectiever regelen van app-toestemmingen mogelijk te maken.

De applicatie, genaamd Privacy Assistant, loopt na installatie een korte vragenlijst door met de gebruiker. Daarmee wordt geïnventariseerd of de gebruiker het bijvoorbeeld goed vindt als een sociale media-app toegang heeft tot de camera, of een bankier-app de locatie van de gebruiker mag weten. Na in kaart te hebben gebracht wat de gebruiker precies wil op het gebied van privacy, wordt een lijst met aanbevelingen samengesteld. De gebruiker kan direct alle aanbevelingen toepassen. Daarom is wel root vereist; dit zijn systeeminstellingen. Ook na de eerste set-up, tijdens het dagelijks gebruik, komt Privacy Assistant indien nodig met aanbevelingen.

De applicatie scant volgens The Verge de broncode van de geïnstalleerde applicaties om vast te stellen of een toestemming nodig is voor de app om te functioneren of dat dit gebruikt wordt voor doeleinden als analytics of advertenties.

Alles bij de bron; Tweakers


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha