Apple heeft woensdag een update beschikbaar gesteld voor iPhones en iPads met iOS 15 en MacBooks van de vijfde of een latere generatie. De update moet twee kwetsbaarheden verwijderen, omdat die door kwaadwillenden misbruikt kunnen worden.
De ene kwetsbaarheid zit in de technologie achter de webbrowsers bij de Apple-apparaten. Met dat lek kunnen hackers codes uitvoeren wanneer gebruikers een schadelijke website bezoeken. Met de andere kwetsbaarheid krijgen de aanvallers meer controle over het apparaat.
Daarom is het belangrijk dat iPhones en iPads met iOS 15 snel worden geüpdatet naar versie 15.6.1, zegt Apple.
Alles bij de bron; NU
Ethisch hacker Thijs Alkemade heeft een groot lek gevonden in een functionaliteit van het Apple-besturingsysteem MacOS. Via die kwetsbaarheid konden kwaadwillenden met één applicatie toegang krijgen tot de rechten van andere applicaties en deze misbruiken.
Het gaat om een zogenoemde ‘process injection vulnerability’ waarmee alle op MacOS AppKit-gebaseerde applicaties kwetsbaar waren en toegang boden tot andere applicaties en het systeem zelf.
De kwetsbaarheid zat in een tien jaar oude toepassing de ‘saved state’-functie. Daarmee biedt het systeem bij het afsluiten aan om openstaande vensters opnieuw te openen zodra het systeem weer opstart.
Alkemade roept softwareleveranciers op om bij updates niet alleen te focussen op nieuwe functionaliteiten, maar ook te letten op kwetsbaarheden in oude toepassingen. Hij vindt het begrijpelijk dat functies die lang geleden zijn ontwikkeld niet altijd zijn berekend op de technologie van vandaag. ‘Eigenlijk zou je ook regelmatig het systeem in zijn geheel moeten onderzoeken.’
Alles bij de bron; Computable
Chinese internetconcerns zoals Tencent en ByteDance (TikTok) hebben voor het eerst details van de algoritmen achter hun diensten met de Chinese autoriteiten gedeeld. Officieel is het doel om gegevensmisbruik in te dammen, maar het kan uiteindelijk leiden tot het compromitteren van goed bewaakte bedrijfsgeheimen.
De Chinese internettoezichthouder CAC publiceerde vrijdag een lijst met 30 algoritmen die internetbedrijven - waaronder ook Alibaba Group en Meituan - gebruiken om gegevens over gebruikers te verzamelen, persoonlijke aanbevelingen op maat te maken en content te presenteren. Hoewel de openbare lijst de eigenlijke code niet onthult, was niet duidelijk in hoeverre internetbedrijven hun onderliggende software mogelijk privé aan Chinese instanties hebben onthuld.
De algoritmen die bepalen welke TikTok-video's, WeChat-berichten en Instagram-foto's gebruikers zien, worden beschouwd als cruciaal om de aandacht van gebruikers te trekken en groei te stimuleren.
China heeft in maart regelgeving aangenomen die internetbedrijven verplicht om dergelijke tools openbaar te maken. Dit zou een poging zijn om klachten over gegevensmisbruik op te pakken en regelgevers te helpen om internetbedrijven strakker in de gaten te houden.
Volgens de regelgeving moeten bedrijven ook niet-openbare informatie indienen bij de CAC, waaronder een zelfbeoordeling van de veiligheid van de algoritmen, de gegevens die ze verzamelen, of dat gevoelige biometrische of identiteitsinformatie omvat, en welke gegevensbronnen worden gebruikt om te trainen algoritmen. De CAC - die de richtlijnen samen met het ministerie van Industrie en Informatietechnologie, het ministerie van Openbare Veiligheid en de staatsadministratie voor marktregulering uitvaardigde - zei dat het de lijst zal blijven bijwerken.
"De informatie die door de bedrijven aan de CAC wordt verstrekt, is veel gedetailleerder dan wat zeker is gepubliceerd, en omvat enkele zakengeheimen, die niet aan het publiek kunnen worden vrijgegeven", zei Zhai.
Alles bij de bron; DutchIT-Channel
Via Windows is het mogelijk bestanden te ontvangen en te bewerken die metadata bevatten. Dit kan een negatieve impact hebben op je privacy.
Metadata bestaat uit allerlei gegevens die je met het blote oog niet zomaar ziet. Bij foto's kan het dan bijvoorbeeld gaan om het soort camera waarmee de foto is gemaakt, op welke plaats (exacte GPS-locatie zelfs) en meer. Mogelijk wil je dat niet allemaal delen zodra je die foto op internet deelt. Weg dus met die metadata.
Hoe doe je dit precies? Gelukkig is dat geen moeilijk proces, maar je moet er wel even wat minuten aan besteden.
Alles bij de bron; ComputerTotaal
WhatsApp heeft de afgelopen dagen een aantal updates voor de app aangekondigd.
Zo wordt er onder meer een nieuwe functie geïntroduceerd waarmee gebruikers voor anderen kunnen afschermen wanneer ze online zijn. Het is al langer mogelijk om te verbergen wanneer je voor het laatst actief was op WhatsApp. Maar mensen krijgen het nog wel van elkaar te zien wanneer ze online zijn. In een gesprek is dan onder de naam van de ontvanger de tekst "Nu online" te zien. Gebruikers kunnen dat binnenkort dus aanpassen.
Zij kunnen er straks voor kiezen om hun onlinestatus alleen aan hun contactpersonen te tonen. Ook is het mogelijk om de status voor specifieke mensen te verbergen. Als mensen hun onlinestatus afschermen, kunnen ze van anderen ook niet meer zien wanneer ze actief zijn.
Alles bij de bron; NU
Tijdens de patchronde van juli heeft Oracle in een groot aantal producten in totaal 188 kwetsbaarheden verholpen. Het softwarebedrijf rolde 349 patches uit voor 188 unieke problemen, waarvan er 29 als kritiek zijn aangemerkt. Via dergelijke kwetsbaarheden kan een aanvaller systemen op afstand overnemen.
De impact van drie van de beveiligingslekken in WebLogic Server zijn op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Verder kwam Oracle ook voor verschillende producten met een update voor de Spring4Shell-kwetsbaarheid. In het geval van verschillende Oracle Communications-oplossingen is de impactscore van dit lek met een 10.0 beoordeeld.
Vanwege de dreiging van een succesvolle aanval adviseert Oracle organisaties om de beveiligingsupdates zo snel mogelijk te installeren. Oracle brengt niet maandelijks maar elk kwartaal updates uit. De volgende patchronde staat gepland voor 18 oktober 2022.
Alles bij de bron; Security
Iedere uitvoeringsorganisatie die zogenoemde profilerende algoritmes inzet, moet voldoende maatregelen nemen om mensenrechten te beschermen. Dat concludeert het Rathenau Instituut in het rapport Algoritmes afwegen. Bij het beschermen van mensenrechten kunnen uitvoeringsorganisaties gebruik maken van burgerpanels, ethische commissies en een normenkader.
In het kort:
Alles bij de bron; Rathenau
We hebben de laatste jaren veel voorbeelden gezien van overheidsinstanties die gegevens van burgers verzamelen, daarop analyses en algoritmen loslaten en op basis van de uitkomsten besluiten nemen. Soms loopt dat helemaal fout, zoals bij de toeslagenaffaire.
Vaak gaat het hier om privacy. Althans, dat woord gonst altijd gauw rond als het om algoritmen gaat. Maar wat bedoelen we dan precies met privacy?
Gaat het over het zorgvuldig omgaan met persoonlijke gegevens van burgers, over het verzamelen en verwerken van gegevens, over gegevensbescherming en privacy in engere zin?
Of gaat het over privacy in bredere zin: over de wijze waarop instanties ingrijpen in persoonlijke leven van mensen, en bijvoorbeeld over proportionaliteit: over de verhouding tussen maatschappelijke kosten en baten bij het inzetten van zo’n algoritme?
Beide betekenissen van privacy zijn relevant en belangrijk. Dat het ook belangrijk is om onderscheid te maken tussen die twee, laat de kwestie rond SyRI (Systeem RisicoIndicatie) zien.
Alles bij de bron; deIngenieur
NAS-systemen van fabrikant QNAP zijn door beveiligingslekken in Netatalk kwetsbaar voor aanvallen. Eind vorige maand kwam het Netatalk-ontwikkelteam met een nieuwe versie waarin meerdere kwetsbaarheden zijn verholpen.
Netatalk wordt ook gebruikt door QTS, QuTS hero en QuTScloud, de besturingssystemen die op NAS-systemen van QNAP draaien. Vier van de beveiligingslekken in Netatalk (CVE-2022-0194, CVE-2022-23121, CVE-2022-23122 en CVE-2022-23125) maken het mogelijk voor ongeauthenticeerde aanvallers om code op kwetsbare QNAP-systemen uit te voeren.
QNAP heeft de impact van de beveiligingslekken als "high" bestempeld. De NAS-fabrikant stelt dat de kwetsbaarheden al zijn verholpen in QTS 4.5.4.2012 build 20220419 en nieuwer. Voor andere versies van de besturingssystemen worden nog beveiligingsupdates ontwikkeld.
Alles bij de bron; Security
Twee beveiligingsonderzoekers die vorig jaar kwetsbaarheden in de CoronaCheck-app ontdekten en dit wilden melden kregen hun bugmelding terug omdat het door de overheid gebruikte e-mailadres niet bestond. Dat schrijven onderzoekers Daan Keuper en Thijs Alkemade in een analyse van de kwetsbaarheden in de app.
De CoronaCheck-app bleek verschillende fouten te maken bij de controle van tls-certificaten. Door middel van een kwaadaardig certificaat zou het zo mogelijk zijn om verkeer tussen de app en het ministerie van Volksgezondheid of een coronatestaanbieder te onderscheppen. De CoronaCheck-app heeft op de website een pagina genaamd "Kwetsbaarheid melden", waar wordt uitgelegd hoe onderzoekers beveiligingslekken in de app kunnen melden.
Alkemade en Keuper stuurden hun bevinden naar het genoemde e-mailadres, maar kregen hun e-mail terug omdat het genoemde adres niet bestond. Uiteindelijk wisten ze via andere kanalen hun bugmeldingen door te zetten. De kwetsbaarheden werden vervolgens stilletjes en zonder terugkoppeling verholpen, zo laten de onderzoekers verder weten.
Die besloten afgelopen oktober naar de code van de app te kijken of alle problemen waren verholpen en ontdekten dat één beveiligingslek nog niet goed was opgelost. Wederom stuurden de onderzoekers een e-mail naar de ontwikkelaars, die het probleem opnieuw zonder terugkoppeling verhielpen.
Alles bij de bron; Security