Verschillende kwetsbaarheden in Thunderbolt 1, 2 en 3 maken het mogelijk voor een aanvaller met fysieke toegang tot een vergrendelde computer om het systeem te ontgrendelen. Dat laat de Nederlandse beveiligingsonderzoeker Björn Ruytenberg van de Technische Universiteit Eindhoven weten.
Het probleem speelt bij alle met Thunderbolt uitgeruste systemen die tussen 2011 en 2020 zijn uitgebracht. Het maakt daarbij niet uit of het doelwit Linux of Windows draait. MacOS is deels kwetsbaar.
Om de aanval uit te voeren, die door Ruytenberg Thunderspy wordt genoemd, moet een aanvaller het ingeschakelde systeem wel eerst openen. Vervolgens is het door de gevonden kwetsbaarheden mogelijk om de Thunderbolt-firmware te herprogrammeren. Daardoor is het mogelijk om het ingetelde beveiligingsniveau te veranderen, zodat willekeurige Thunderbolt-apparaten worden geaccepteerd. De gemaakte aanpassing is niet zichtbaar voor het besturingssysteem.
Nadat een aanvaller de firmware heeft aangepast kan die zijn eigen Thunderbolt-apparaat aansluiten en zo de schermvergrendeling van de computer omzeilen. De gehele aanval is binnen vijf minuten uit te voeren. De Thunderspy-kwetsbaarheden zijn volgens Ruytenberg niet met een software-update te verhelpen.
Ruytenberg ontwikkelde een tool voor Linux en Windows genaamd Spycheck waarmee gebruikers kunnen controleren of hun systeem risico loopt. Wie zich tegen een Thunderspy-aanval wil beschermen krijgt het advies om hibernation (Suspend-to-Disk) toe te passen of het systeem volledig uit te schakelen. Gebruikers moeten in ieder geval voorkomen dat ze een vergrendelde computer onbeheerd achterlaten. Wanneer er geen gebruik van Thunderbolt wordt gemaakt doen gebruikers er verstandig aan om de interface via de UEFI/BIOS uit te schakelen.
De Consumentenbond slaat alarm over onveilige Chinese ip-camera's in Nederland, die het met onkruid vergelijkt. Aanleiding is nieuw onderzoek, waaruit blijkt dat 27.000 Nederlandse ip-camera's risico lopen om door aanvallers te worden overgeomen. Het probleem wordt veroorzaakt doordat de camera's van een voorspelbaar uniek identificatienummer (UID) gebruikmaken.
De voorspelbare UID's zijn onderdeel van een bepaalde module (ILnkP2P) die in camera’s van honderden merken zit. Al die merken maken weer gebruik van verschillende apps om de camera's te bedienen. Gebruikers installeren de mobiele app en scannen de barcode op het apparaat of voeren het zescijferige UID in. De p2p-software regelt de rest. De iLnkP2P-apparaten bieden geen authenticatie of versleuteling en zijn eenvoudig te enumereren. Een aanvaller kan zo op afstand verbinding met de apparaten maken.
Vervolgens is het mogelijk om met de camera mee te kijken, het wachtwoord te wijzigen of andere aanvallen uit te voeren. De Consumentenbond stelt dat met name ip-camera's die via de CamHi-app zijn te bedienen risico lopen. Deze app is voor 38 procent van de 27.000 onveilige ip-camera's in Nederland verantwoordelijk.
In dit overzicht van de Consumentenbond zijn meer dan veertig cameramerken te vinden die met de CamHi-app werken. "Wereldwijd gaat het inmiddels om 3,5 miljoen camera’s. Met de komst van Amazon naar Nederland staat de deur nu wagenwijd open", stelt Reijneveld. De Consumentenbond heeft Amazon gevraagd om de onveilige camera's uit de verkoop te halen. Ook de Britse consumentenorganisatie Which? heeft Amazon erop aangesproken.
De problemen met de iLnkP2P-apparaten zijn niet nieuw. Vorig jaar april sloeg beveiligingsonderzoeker Paul Marrapese hier al alarm over. Destijds had hij twee miljoen kwetsbare IoT-apparaten gevonden. Marrapese adviseerde eigenaren om de apparaten weg te gooien.
Samsung heeft een patch uitgebracht voor een ernstig lek in alle Galaxy-smartphones die sinds 2014 zijn uitgebracht. Met het lek in Android was het mogelijk via een .qmg-bestand een telefoon helemaal over te nemen, zonder tussenkomst van de gebruiker.
De bug is opgelost in de beveiligingsupdate van mei voor de Samsung-telefoons, de kwetsbaarheid wordt aangemerkt als 'kritiek'.
Een beveiligingsonderzoeker van Googles Project Zero ontdekte het lek. Hij publiceerde ook een proof-of-concept waarin hij laat zien hoe het lek is uit te buiten. Dat gebeurt door tussen de vijftig en driehonderd mms-berichten naar een toestel te sturen een proces dat volgens de onderzoeker rond de honderd minuten duurt. Dan kon de Android Address Space Layout Randomization worden omzeild en kon malware, verpakt in een mms, worden uitgevoerd.
Omdat binnenkomende afbeeldingen automatisch door de library met de kwetsbaarheid worden gehaald, is geen tussenkomst van de gebruiker nodig voordat de aanval kan worden uitgevoerd. Een dergelijke zero click remote code execution is zeldzaam, zeker als die op zoveel verschillende toestellen kan worden uitgevoerd.
Samsung is de enige Android-fabrikant die .qmg-afbeeldingen ondersteunt en heeft de kwetsbaarheid gedicht nadat de beveiligingsonderzoeker het bedrijf had ingelicht.
De Autoriteit Persoonsgegevens begint een onderzoek naar de populaire app TikTok. De toezichthouder wil weten hoe de app omgaat met de privacy van de vele jonge gebruikers.
De Autoriteit Persoonsgegevens wil onder meer weten of TikTok aan kinderen goed genoeg uitlegt wat het doet met hun persoonsgegevens. De waakhond onderzoekt ook of ouders toestemming moeten geven voor het verzamelen en verwerken van persoonsgegevens van kinderen.
Gebruikers van TikTok kunnen korte filmpjes van zichzelf maken en die delen met anderen. TikTok heeft wereldwijd een half miljard tot een miljard gebruikers. Ook in Nederland is de app populair, onder meer onder basisscholieren.
Frankrijk zet kunstmatige intelligentie in om te controleren hoeveel mensen mondkapjes in het openbaar vervoer dragen.
Met de software wordt anonieme statistische data verzameld. Die informatie kan onder andere worden gebruikt om te anticiperen op toekomstige uitbraken van het coronavirus. De technologie wordt niet ingezet om mensen te identificeren en te beboeten. De software genereert enkel statistieken over hoeveel mensen een mondkapje dragen. Gegevens worden niet naar de cloud geüpload.
Deze week is er een test met de software gestart in het Parijse station Chatelet-Les Halles. Toch wordt de AI ook elders in het land al gebruikt, onder andere in bussen in Cannes.
Door een datalek bij bemiddelingsplatform Tadaah liggen de identiteitsbewijzen van honderden medewerkers uit de zorg en kinderopvang op straat. Tadaah koppelt zelfstandigen in de zorg en kinderopvang aan opdrachtgevers, en krijgt daarvoor een vergoeding.
Het gaat om de identiteitsbewijzen van zo'n 800 mensen. Zij hebben een kopie van de voor- en achterkant van hun ID, paspoort of rijbewijs naar Tadaah gestuurd. Ook VOG's (Verklaring Omtrent het Gedrag), verzekeringen en diploma's waren door het datalek voor iedereen in te zien. In totaal gaat het om duizenden gelekte gevoelige documenten.
Het datalek is ontstaan omdat Tadaah alle documenten op een onbeveiligde en publiekelijk toegankelijke server opsloeg. Deze bestanden, die je via de website moet uploaden, waren daardoor voor iedereen te vinden met zoekopdrachten als 'kopie paspoort', 'kopie rijbewijs' of 'kopie VOG'.
De persoonsgegevens van miljoenen gebruikers van de erotische webcamsite CAM4 stonden online, doordat een Elasticsearch cluster niet juist geconfigureerd was. Op de database stonden in totaal 10,88 miljard gegevens, waaronder ruim 900.000 Nederlandse e-mailadressen.
De onderzoekers die het lek vonden, schrijven op SafetyDetectives dat de eerste database-gegevens dateerden van 16 maart jongstleden en dat de server dagelijks groeide tot ruim 7TB aan data. De data was niet beveiligd en bestond uit gegevens als voor- en achternamen, email-adressen, land, ip-adressen, geslacht en seksuele voorkeur. Ook waren er chatgesprekken te zien tussen gebruikers, gehashte wachtwoorden en informatie over betalingen. Deze betalingsinformatie bestond uit welke type creditcard er werd gebruikt, hoeveel er was betaald en met welke valuta was betaald.
Volgens de onderzoekers vormen de ontdekte gegevens een risico en zouden ze misbruikt kunnen worden voor bijvoorbeeld identiteitsfraude, phishing en chantage. Vooral de combinatie van de volledige naam, het email-adres en het gehashte wachtwoord is volgens de onderzoekers gevaarlijk. Deze zou gebruikt kunnen worden om identiteit van een gebruiker te achterhalen en meerdere vormen van bedrog en fraude uit te voeren.
Het onderzoeksteam heeft de eigenaar inmiddels ingelicht, die de server nu ontoegankelijk heeft gemaakt.
De Belgische regering wil mogelijk ook een corona-app uitbrengen, maar de vereiste noodzaak en proportionaliteit hiervoor zijn nog niet aangetoond, zo laat de Belgische Gegevensbeschermingsautoriteit (GBA) weten. De privacytoezichthouder boog zich over twee voorstellen voor het gebruik van corona-apps en het oprichten van een database "om de verspreiding van het coronavirus te voorkomen".
"De invoering van een opsporingssysteem door middel van applicaties is alleen toegestaan als dit het minst ingrijpende middel is om het nagestreefde doel te bereiken en als er een juist evenwicht is tussen de betrokken belangen (proportionaliteit)", zo laat de toezichthouder weten.
De GBA vindt dat de voorstellen burgers ook extra garanties moeten bieden. In het geval van het opzetten van een database moet duidelijker zijn waar de verzamelde gegevens vandaan komen en met welke derde partijen deze gegevens mogen worden gedeeld en hoe die er gebruik van mogen maken. Ook moet worden vermeld dat het niet is toegestaan om gegevens uit verschillende databases die voor de bestrijding van corona zijn opgezet te combineren, en dat verzamelde gegevens niet voor andere doeleinden mogen worden gebruikt.
Verder stelt de privacytoezichthouder dat gebruik van een corona-app echt vrijwillig moet zijn en dat burgers die dit niet doen hier geen nadeel van mogen ondervinden, bijvoorbeeld dat ze geen toegang tot diensten of goederen krijgen. Tevens moet de broncode van elke corona-app openbaar worden gemaakt, zodat experts die kunnen doorlichten.
Onlangs maakte de Belgische regering bekend dat het voorlopig niet met een corona-app komt en handmatig contactonderzoek de voorkeur krijgt. Wel ging de regering met een kader aan de slag waarin een dergelijke app zou kunnen werken.
De exposure notification API, een gezamenlijk initiatief van Google en Apple om overheden te helpen de Covid-19-pandemie te beteugelen, is nu de testfase ingegaan.
Met de API willen beide bedrijven, die samen vrijwel de volledige markt van smartphones van een besturingssysteem voorzien, het eenvoudig maken voor ontwikkelaars tracing-apps te bouwen die op beide platformen hetzelfde reageren. De apps kunnen gebruik maken van bluetooth low energy (LE) om een inschatting te maken van de afstand die smartphones tot elkaar hebben gehad.
Beide bedrijven publiceren vrijdag een voorbeeld van de code van zo'n app die ontwikkelaars als referentie kunnen gebruiken.
De komende weken wordt de software getest en eventuele fouten gecorrigeerd. Het is de bedoeling dat half mei de definitieve versie van de API wordt uitgegeven, samen met die van de toolsets.
Je hebt ze de laatste weken vast voorbij zien komen: diensten als Google Meet, Zoom en Microsoft Teams. Deze videobeldiensten maken het makkelijk om je vrienden en collega’s te zien en te spreken tijdens de coronacrisis.
Het is natuurlijk ontzettend handig om vanuit huis toch face-to-face te kunnen overleggen. Maar deze diensten blijken toch behoorlijk privacygevoelig. Verschillende videobelprogramma’s kwamen dan ook onlangs in opspraak door beveiligingslekken. Wij zetten de verschillende videobeldiensten op een rij...
...3. Microsoft Teams
Wat betreft privacy doet Teams het beter dan de meeste tools. Teams is namelijk wel end-to-end versleuteld. Het is echter niet open source, dus het blijft redelijk vaag wat er precies met je gegevens gebeurt...
...5. FaceTime
FaceTime is een stuk veiliger. Apple deelt geen gegevens met andere partijen voor marketingdoeleinden. Ook zijn de gesprekken die je met de app voert standaard versleuteld. Het bedrijf maakt echter wel gebruik van van je gegevens, maar dan alleen voor haar eigen producten en diensten...
...7. Jitsi Meet
Na een onderzoek van Bits of Freedom blijkt dat Jitsi één van de veiligste en meest betrouwbare manieren is om te videobellen. De app is open source, dus iedereen kan in de broncode checken of de app ook echt doet wat er in de privacyvoorwaarden staat. Daarnaast wordt al het verkeer via Jitsi standaard versleuteld. Het fijne aan Jitsi is dat je niet in hoeft te loggen met een account, maar gewoon direct naar het videochatkanaal kunt gaan. Deze kan eventueel worden beveiligd met een wachtwoord.
Jitsi gebruikt beeld, geluid en chats van je gesprek alleen om de verbinding tot stand te brengen tussen jou en je gesprekspartners, aldus een woordvoerder van Jitsi. Gegevens worden tijdelijk opgeslagen, maar worden niet gedeeld met anderen. Na je gesprek worden deze gegevens weer verwijderd. Voor nu is Jitsi Meet dus de veiligste keus om te videobellen.
