Software & Algoritmes

Een groot deel van de Nederlandse apparaten met een Android-besturingssysteem zit vol beveiligingslekken. Soms zijn gebruikers zelfs al kwetsbaar voor hackers en cybercriminelen op het moment dat ze de winkel uitlopen. Hoe dat komt ?

Een belangrijke oorzaak van het probleem van verouderde software is het proces dat Android gebruikt om updates te leveren. Android is namelijk — in tegenstelling tot iOS, waar Apple zelf de software maakt en rechtstreeks aan gebruikers levert — ontworpen als een 'open' ecosysteem. Dat wil zeggen dat iedereen in principe zijn eigen aangepaste versie van het product kan maken. Fabrikanten van smartphones doen dit veelvuldig, deels om ervoor te zorgen dat de software goed werkt op hun apparaten, deels om hun eigen 'sausje' mee te leveren.

Dit heeft echter tot gevolg dat fabrikanten iedere software-patch en nieuwe versie van het besturingssysteem zelf moeten aanpassen voor al hun toestellen. Bedrijven als Samsung, LG en Huawei brengen elk jaar veel verschillende modellen smartphones uit. Het resultaat: toestellen ontvangen nieuwe Android-versies over het algemeen pas maanden nadat deze uitkomen, en de tijd dat er beveiligingsupdates worden geleverd is beperkt. Goedkopere toestellen en modellen van vorig jaar krijgen de updates vaak zelfs helemaal niet.

Fabrikanten zijn niet de enige factor in het probleem. Een aantal telecomproviders — zoals T-Mobile en Vodafone in Nederland — past de Android-software namelijk ook nog eens aan. Dit doen ze bijvoorbeeld om hun eigen applicaties en logo’s mee te leveren, of om de telefoon van een simlock te voorzien. Hierdoor ontstaat er nóg een 'tussenstation' alvorens een nieuwe versie van Android de eindgebruiker bereikt, met extra vertraging als gevolg.

De telecombedrijven verkopen ondertussen ook doodleuk telefoons met sterk verouderde software aan hun klanten. Zo kun je bij KPN bijvoorbeeld een smartphone van het type HTC Desire 620 bestellen deze telefoon draait op Android versie 4, waar geen update naar een nieuwere versie voor beschikbaar is, en dat die er hoogstwaarschijnlijk ook nooit gaat komen — hartstikke onveilig dus. Ook de Samsung Galaxy S6 is bij KPN te koop. Als je deze smartphone vandaag aanschaft, ontvang je hooguit nog een paar maanden updates. En daar zit je dan contractueel twee jaar aan vast.

KPN is bij lange na niet de enige provider die telefoons met verouderde software verkoopt. Zo kun je bij Vodafone en T-Mobile de Samsung Galaxy J3 krijgen. Voor dit toestel — tevens de bestverkochte Android-telefoon op Bol.com — bestaat in Zuid-Korea al sinds mei 2016 een update naar Marshmallow, maar in Nederland is die vooralsnog niet beschikbaar. Het is weinig verrassend: van de 86 door de Consumentenbond geteste Android-telefoons die in Nederland 'goed verkrijgbaar' zijn, worden er 38 geleverd met verouderde versies van Android.

Wat kun je nu als Android-gebruiker zelf doen? Veel beveiligingslekken zitten in de webbrowser. Gebruik dus niet de standaard Android-browser, maar een alternatief, zoals Google Chrome of Firefox for Android (gratis te downloaden in de Google Play Store). Spyware, de programma’s waarmee hackers je telefoon afluisteren, zit ook vaak verpakt in onschuldig ogende Android-apps. Installeer dus alleen apps die je vertrouwt. Tot slot: op deze website kun je lezen hoe je jezelf beschermt tegen de Stagefright-bug.

Alles bij de bron; FTM


 

Het Russische softwarebedrijf Elcomsoft heeft nieuwe software uitgebracht waarmee het voor opsporingsdiensten mogelijk is om in real-time het surfgedrag van iOS-apparaten zoals iPhones en iPads uit te lezen, zonder dat het apparaat in kwestie moet worden ontgrendeld.

Naast periodieke cloudback-ups synchroniseert Apple verschillende soorten data van iOS-apparaten via iCloud. Zo kunnen iPhones bijvoorbeeld informatie over telefoongesprekken en FaceTime-gesprekken een paar minuten na het gesprek naar iCloud sturen Naast gespreksgegevens synchroniseert iOS ook de surfgeschiedenis van Safari, notities, kalenders en contacten.

"Eén van de meest interessante onderdelen van deze cloudsynchronisatie is de surfgeschiedenis. IOS-apparaten synchroniseren automatisch het surfgedrag van Safari met de cloud, waarbij informatie over openstaande tabs en algemene surfgeschiedenis worden bewaard. Net als met telefoongesprekken worden deze gegevens gedurende de dag op reguliere momenten naar iCloud gestuurd, vaak minuten nadat een gebruiker een link heeft geopend", zegt Vladimir Katalov van Elcomsoft.

Hij merkt op dat deze feature niet duidelijk door Apple wordt genoemd en er ook geen duidelijke manier is om het uit te schakelen. Als iCloud Drive op een iPhone staat ingeschakeld zal de informatie automatisch naar de server van Apple worden gestuurd. Sommige gebruikers laten echter weten dat ondanks het uitschakelen van iCloud Drive de gegevens nog steeds worden verstuurd.

Volgens Katalov is de kans dat een crimineel coudsynchronisatie heeft ingeschakeld veel groter dan dat hij regelmatig cloudback-ups maakt. In het geval van de San Bernardino-schutter bleek de laatste iCloudback-up maanden oud te zijn. Daarnaast worden de surfgegevens vaak minuten na de activiteit gesynchroniseerd, in tegenstelling tot iCloudback-ups die op z'n best dagelijks worden gemaakt. Om de gegevens van de gebruiker in de cloud uit te lezen moet er wel over het Apple ID en wachtwoord of iCloud-authenticatietoken worden beschikt. De functie is nu toegevoegd aan Elcomsoft Phone Breaker 6.30. De software is zowel beschikbaar voor thuisgebruikers, professionals als forensische onderzoekers, maar de uitleesfunctie voor de cloud is alleen in de "forensic edition" beschikbaar (pdf).

Bron; Security


 

Chris O'Neil, CEO van Evernote, heeft gisteravond laten weten toch maar af te zien van deze wijziging. "Vertrouwen is het hart van onze dienst. Dat betekent dat wij transparant moeten zijn en onze fouten moeten toegeven. Zowel over de manier hoe deze app werkt als de manier waarop wij communiceren met onze gebruikers."

Het bedrijf laat in een blogpost weten dat het erg veel feedback heeft ontvangen van bezorgde gebruikers over de nieuwe privacy policy en het bedrijf heeft daarom besloten daar van af te zien.

"Evernote heeft z'n inzet om privacy het middelpunt te laten zijn versterkt en wij zullen de nieuwe privacy policy daarom niet implementeren. Wij zullen in plaats daarvan de komende maanden onze bestaande privacy policy wijzigen en zo de zorgen van onze consumenten wegnemen. Wij zullen onze machine learning-technologieën beschikbaar maken voor onze gebruiker, maar er zullen geen medewerkers zijn die de notities zullen inzien tenzij zij daarvoor kiezen in de vorm van een opt-in."

Alles bij de bron; WebWereld


 

Twitter heeft overheden de toegang tot analysesoftware Dataminr geblokkeerd, omdat die werd gebruikt voor surveillance. 

Zogenoemde datadeelcentra (fusion centers) van overheden gebruikten Dataminr om inlichtingen te verzamelen over gebruikers op Twitter, ontdekte de Amerikaanse mensenrechtenorganisatie ACLU. Dat is in strijd met het beleid en de accounts zijn daarom geblokkeerd, schrijft Twitter in een brief aan de organisatie.

Volgens onderzoekers van ACLU gebruikten overheidsdiensten Dataminr om demonstranten, journalisten en anderen in de gaten te houden. Ook zou de software worden gebruikt voor het profileren van verdachte personen. Zeker een fusion center in Californië had toegang tot de zogenoemde geospatial analysis application van Dataminr. Daarmee konden mensen in bepaalde gebieden worden gevolgd.

Twitter heeft de overheidsdiensten op de hoogte gesteld dat ze geen toegang meer hebben tot de dienst. Ze kunnen alleen nog gebruikmaken van Dataminr voor het ontvangen van nieuwsalerts. Eerder zorgde Twitter ervoor dat de Amerikaanse geheime dienst CIA en opsporingsdienst FBI geen datasets meer van Twitter konden kopen via Dataminr.

Alles bij de bron; NU


 

Een beveiligingslek in Adobe Flash Player dat dinsdag heeft gepatcht kon aanvallers toegang tot de webcam en microfoon geven. De kwetsbaarheid maakte het mogelijk om de browserbeveiliging te omzeilen die voorkomt dat het ene domein toegang tot de middelen van een ander domein krijgt.

Als een gebruiker bijvoorbeeld tijdens een videochat Facebook via https toegang tot de microfoon en camera had gegeven, zouden deze rechten ook voor http-verbindingen gelden. "Dit probleem maakte het mogelijk voor een lokale aanvaller om de microfoon en camera af te luisteren en is een groot probleem voor iedereen die een gedeelde verbinding gebruikt", aldus de Ethiopische onderzoeker Paulos Yibelo.

"Als je Flash Player toestemming hebt gegeven om je foto te nemen, je microfoon te gebruiken of het gebruikt om via een beveiligde website te videochatten, heeft het ook toegang tot de onbeveiligde verbinding gegeven. Dus elke lokale aanvaller kan de gebruiker een kwaadaardig Flash-applet sturen en zo toegang tot de camera en microfoon krijgen", aldus de onderzoeker. In totaal verhelpt Flash Player 24.0.0.186 zeventien beveiligingslekken, waaronder een kwetsbaarheid die actief bij gerichte aanvallen is ingezet.

Alles bij de bron; Security


 

Evernote heeft wijzigingen aangekondigd in de privacy-voorwaarden. Volgens Evernote is het, voor een nog betere ervaring van de dienst, nuttig om medewerkers van het bedrijf toegang te geven tot jouw notities. De nieuwe voorwaarden gaan volgende maand al in.

Evernote wil de ‘machine learning’ verbeteren waardoor meer functies beschikbaar zijn in Evernote. De applicatie moet dan slimmer zijn en betere suggesties tonen. Omdat machine learning volgens de ontwikkelaar nog niet perfect zijn werk doet, wil het een geselecteerde groep medewerkers toegang geven tot notities van gebruikers, om zo de machine learning beter te maken. 

Je kunt kiezen voor een ‘opt-out’. Hiermee kan je als gebruiker aangeven dat je geen gebruik wilt maken van machine learning en ook dus de medewerkers geen toegang geeft tot je gebruikers. De optie opt-out vind je in het account-overzicht bij persoonlijke instellen, te bereiken via deze link. Vink daar de optie ‘Geef Evernote toestemming om mijn data te gebruiken om mijn ervaring te verbeteren.’ uit.

Alles bij de bron; DroidApp


 

Google brengt PhotoScan uit, een app om analoge foto's te digitaliseren. Met de app worden meerdere opnames gemaakt van één foto, wat moet resulteren in een scan met een hogere resolutie dan de resolutie van de camera.

Ook worden er meerdere foto's gemaakt om reflecties uit het eindresultaat te weren. Het scannen werkt door de app te openen en de camera op een afdruk te richten. Vervolgens verschijnen er vier stippen in beeld, waar de gebruiker de camera enige tijd boven dient te houden. PhotoScan maakt op die momenten foto's van de afdrukken en combineert deze vervolgens tot één beeld.

De app voert automatische bewerkingen toe zoals uitsnijden, roteren en kleurcorrectie. Gescande foto's kunnen bewaard worden in clouddienst Google Foto's, maar dat is niet vereist. Goolge komt volgens The Verge ook met een update voor de Foto's-app, die een nieuwe automatische verbeterfunctie toevoegt. Ook zijn er in de nieuwe app 'looks' beschikbaar, die vergelijkbaar zijn met filters in apps zoals Instagram. De filters worden echter niet altijd hetzelfde toegepast, de app kijkt naar het onderwerp op de foto en komt vervolgens met een passende bewerking.

Alles bij de bron; Tweakers


Sinds februari van dit jaar mag de politie onder strenge voorwaarden software op de pc of laptop van een verdachte installeren om gesprekken en chats te kunnen volgen. Deze software wordt ook wel de ‘Bundestrojaner’ genoemd.

De Bundestrojaner is bedoeld om alle communicatie van een hoofdverdachte te kunnen onderscheppen. Nu mag die software alleen worden geïnstalleerd op de pc of laptop van verdachten, maar het Duitse Bundeskriminalamt (BKA) wil die bevoegdheden ook krijgen voor smartphones en tablets, aldus diverse Duitse media die dat opmaken uit de begroting van het Duitse parlement. Hoeveel het ontwikkelen van de overheidsspyware voor smartphones en tablets de Duitse overheid precies zal gaan kosten, blijft onduidelijk. In de begroting wordt voor de smartphone-trojan en andere ‘operationele IT-systemen’ een bedrag van ongeveer 50 miljoen genoemd.

Alles bij de bron; Security


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha