Twee beveiligingsonderzoekers die vorig jaar kwetsbaarheden in de CoronaCheck-app ontdekten en dit wilden melden kregen hun bugmelding terug omdat het door de overheid gebruikte e-mailadres niet bestond. Dat schrijven onderzoekers Daan Keuper en Thijs Alkemade in een analyse van de kwetsbaarheden in de app.
De CoronaCheck-app bleek verschillende fouten te maken bij de controle van tls-certificaten. Door middel van een kwaadaardig certificaat zou het zo mogelijk zijn om verkeer tussen de app en het ministerie van Volksgezondheid of een coronatestaanbieder te onderscheppen. De CoronaCheck-app heeft op de website een pagina genaamd "Kwetsbaarheid melden", waar wordt uitgelegd hoe onderzoekers beveiligingslekken in de app kunnen melden.
Alkemade en Keuper stuurden hun bevinden naar het genoemde e-mailadres, maar kregen hun e-mail terug omdat het genoemde adres niet bestond. Uiteindelijk wisten ze via andere kanalen hun bugmeldingen door te zetten. De kwetsbaarheden werden vervolgens stilletjes en zonder terugkoppeling verholpen, zo laten de onderzoekers verder weten.
Die besloten afgelopen oktober naar de code van de app te kijken of alle problemen waren verholpen en ontdekten dat één beveiligingslek nog niet goed was opgelost. Wederom stuurden de onderzoekers een e-mail naar de ontwikkelaars, die het probleem opnieuw zonder terugkoppeling verhielpen.
Alles bij de bron; Security
Slimme algoritmes worden steeds vaker gebruikt in onze samenleving, bijvoorbeeld om fraude op te sporen. Die algoritmes moeten worden wel gecontroleerd op discriminatie en willekeur. Die taak komt voor een belangrijk deel te liggen bij de Autoriteit Persoonsgegevens (AP), de Nederlandse privacywaakhond.
Het is onwenselijk om dit zomaar bij de AP onder te brengen, zegt Corien Prins, hoogleraar Recht en Informatisering en voorzitter van de Wetenschappelijke Raad voor Regeringsbeleid (WRR), de belangrijkste adviesraad van de regering. "Algoritmes gebruiken lang niet altijd persoonsgegevens, maar dat is wel de focus van de AP. Ook zit de pijn niet altijd bij privacy. Algoritmes kunnen ook de markt verstoren of tot machtsmisbruik leiden."
De WRR-voorzitter slaat de spijker op de kop, vindt hoogleraar privacy Bart Schermer. "Door de taak bij de AP onder te brengen, zit er gelijk het stempel van persoonsgegevens op. De AP heeft niet per se kaas gegeten van algoritmes voor de veiligheid van vliegtuigonderdelen of algoritmes in medische apparatuur."
Alles bij de bron; NU
Tijdens de eerste patchdinsdag van dit jaar is Microsoft in eerste instantie vergeten te melden dat één van de verholpen kwetsbaarheden al voor het uitkomen van de update actief werd aangevallen. Een aantal dagen later werd de ontbrekende informatie alsnog toegevoegd. De Amerikaanse overheid heeft federale overheidsinstanties nu verplicht om het beveiligingslek voor 18 februari te patchen.
De kwetsbaarheid in kwestie, aangeduid als CVE-2022-21882, bevindt zich in de Windows-kernel. Via het lek kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen en beheerder- of systeemrechten krijgen.
Alles bij de bron; Security
Twee weken geleden was het mogelijk een app voor tweestapsverificatie te downloaden via Google Play, die naast beveiliging ook een banktrojan aanbood. De app, genaamd 2FA Authenticator, ging op 12 januari live in Google Play. Op 26 januari ontdekte Google dat het om een malafide applicatie ging; en twaalf uur later verwijderde de zoekmachinegigant de applicatie.
De app is meer dan tienduizend keer gedownload vanuit Google Play en haalde bankgegevens en andere persoonlijke informatie op. Het gaat om Android-malware Vultur, die in 2021 ontdekt werd.
De app in kwestie gaf gebruikers daadwerkelijk de optie gebruik te maken van 2fa (two-factor authentication). Maar achter de schermen verzamelde de app ondertussen een lijst met apps die op de smartphone van de gebruiker staan. Daarnaast keek die naar de locatie, schakelde die het vergrendelde scherm uit en werden third-party apps gedownload alsof het belangrijke “updates” waren.
Alles bij de bron; ComputerIdee
Anoniem gemaakte telefoongegevens zijn niet zo anoniem. Aan de hand van hun interactiepatroon zijn individuen te herleiden, laten Europese onderzoekers deze week zien in Nature Communications. De huidige praktijk van anonimiseren voldoet hiermee niet langer aan de Europese privacywet, concluderen ze....
... Een groep informatici uit het Verenigd Koninkrijk, Zwitserland en Italië laat nu zien dat het met een techniek die geometrische deep learning heet mogelijk is om iemand te herleiden aan de hand van zijn interacties.
De onderzoekers bouwden een model waarin interacties per week werden weergegeven. In een dataset met geanonimiseerde telefoongegevens van 43.000 mensen kon het model in 52 procent van de tijd iemand correct identificeren op basis van directe interacties én de interacties van de mensen met wie zij interacteerden – twee ‘handdrukken’ ver dus. Als alleen de directe interacties bekeken werden, kon iemand zo’n 15 procent van de tijd correct geïdentificeerd worden.
„Deze onderzoekers hebben weer een extra manier gevonden om individuen te herleiden”, zegt Frederik Zuiderveen Borgesius, hoogleraar ict en recht aan de Radboud Universiteit in Nijmegen. „Ze kunnen hiermee nog geen naam of adres op de telefoongegevens plakken, maar helemaal anoniem is het ook niet meer, en dat wordt wel vaak geclaimd. De grens van wat persoonsgegevens zijn en wat dus onder de [Europese privacywet] AVG valt, schuift dankzij dit soort technieken steeds verder op.”
„Ik denk dat de juristen van Europese telecombedrijven wel zullen balen van dit onderzoek. Die bedrijven verhandelen zulke gegevens graag”, zegt Zuiderveen Borgesius.
Alles bij de bron; NRC [Thnx-2-Niek]
Deepfakes zijn plaatjes, filmpjes of geluiden die met kunstmatige intelligentie (AI) en andere software gemanipuleerd zijn om net echt te lijken. Een recent rapport van Tilburg University constateert dat meer dan 95 procent van alle deepfakes pornografisch is, en vaak gemaakt zonder toestemming van de mensen die worden afgebeeld.
Deepfakes kunnen ook dienen om fraude te plegen of je kunt haatzaaien en verkiezingen beïnvloeden met deepfake-nieuws. Over zes jaar is ruim 90 procent van alles wat je digitaal aantreft gemanipuleerd, voorspellen experts. Als daar veel deepfakes tussen zitten, wordt het lastig voor rechters, journalisten en burgers om feit van fictie te scheiden.
“Wat mij heel erg is opgevallen, is hoe realistisch sommige deepfakes zijn”, zegt Tilburg University-docent Bart van der Sloot. “Zowel qua stem als videobeeld kun je iemand iets laten doen of zeggen wat niet van echt is te onderscheiden. Je kunt niet met het blote oog zien dat het nep is, en zelfs bij de beste detectiesoftware glipt ruim een derde van de deepfakes door het net.”
Volgens de Europese privacywet mag je afbeeldingen en andere gegevens van mensen niet zomaar uit hun context halen. Zeker niet om zonder toestemming een onjuiste voorstelling van zaken te geven. Maar een verbod is wel controversieel, vertelt Van der Sloot.
In plaats van een verbod, focust het rapport op manieren om deepfakes beter te reguleren maar ook dat lost niet alles op. Want hoe handhaaf je de wet als je niet weet of iets nep is?
Het probleem is niet alleen dat veel deepfakes onopgemerkt blijven. Het omgekeerde is ook mogelijk. “Automatische detectiesoftware zoekt naar zogeheten artefacten die duiden op manipulatie. Maar iemand kan ook alleen een artefact maken en dat toevoegen aan echte beelden zodat het systeem denkt dat ze nep zijn. Zo wordt het nog moeilijker om te beoordelen wat waar is en wat niet.”
Alles bij de bron; Trouw
Herstel Fabrieksinstellingen. Die knop zou ik dus óók graag voor mijn persoonlijke online-leven willen. Helemaal opnieuw als digital citizen mogen beginnen dus.
Weer anoniem zijn, onbekend, zonder zoek- of koopgeschiedenis, geen leeftijd of geslacht bekend. Een personal reset knop voor Google, Spotify, Facebook, Twitter, Instagram, YouTube, LinkedIn – voor al die platformdiensten die mij en m’n data genadeloos op een rijtje hebben. Die mij advertenties, berichten en clips laten zien en horen die ‘bij me passen’ of ‘voorkeuren’ aanraadt die ‘anderen ook hadden’. ...
...Controle, moderatie, toezicht op deze platforms – het staat in de kinderschoenen. Vrije onderlinge concurrentie is er ook maar met mate – het is een kartel dat de markt verdeelde. Reguleren is dus dringend gewenst. Willen we in Europa wel biometrische camera’s die ieders gezicht herkennen? Volgens de nieuwe verordening mag dat, mits beperkt tot bestrijding van terreur en kinderontvoering. Of is het beter openbare biometrische camera’s tout court te verbieden?
Dat soort discussies moeten we in 2022 voeren. Hoeveel macht krijgt de burger over z’n eigen social media-accounts? ...
...ik wil dus m’n digitale voorkeuren zelf mee mogen bepalen. Alsjeblieft?
Alles bij de bron; NRC [lang-lezen-artikel]
Cognyte, Quadream, Paragon, Cellebrite. Allemaal namen van Israëlische bedrijven die het grote publiek niets zeggen – en ze houden dat graag zo. Als er iets is wat surveillancebedrijven verafschuwen, is het publiciteit. Daarom komt de recente aandachtsgolf voor het Israëlische surveillancebedrijf NSO de sector slecht uit. Van de trots van de nationale cyberindustrie veranderde de onderneming als bij toverslag in het zwarte schaap.
Een internationaal journalistencollectief onthulde, samen met mensenrechtenorganisatie Amnesty International, dat telefoons van tienduizenden journalisten, activisten en politici mogelijk waren geïnfecteerd met Pegasus, de geavanceerde spionagesoftware van NSO. Die kan inbreken op het toestel zonder dat het slachtoffer ergens op heeft geklikt, en vervolgens de camera en microfoon aanzetten en bestanden downloaden.
Diplomatiekeincidenten en rechtszaken volgden. In november gaf de Amerikaanse regering NSO de nekslag door het bedrijf op een zwarte lijst te zetten, samen met concurrent Candiru. Sindsdien probeert de Israëlische overheid de schade te beperken – voor NSO, maar vooral voor de rest van de Israëlische cyberindustrie.
Alles bij de bron; NRC [lang-lezen-artikel]
Privacyorganisatie noyb heeft bij Europese privacytoezichthouders klachten ingediend over het gebruik van algoritmen door Amazon en AirBnB. Volgens noyb, mede opgericht door de bekende privacyactivist Max Schrems, schendt Amazon de AVG door algoritmen te gebruiken voor het aannemen of afwijzen van sollicitanten, zonder dat die te weten krijgen waarom ze zijn afgewezen.
Artikel 22 van de AVG stelt dat personen niet aan geautomatiseerde beslissingen mogen worden blootgesteld. Amazon wil echter geen opheldering geven over hoe het tot beslissingen komt en hoe hierbij data van sollicitanten wordt verwerkt. Aanleiding voor noyb om bij de Luxemburgse databeschermingsautoriteit een privacyklacht tegen Amazon in te dienen.
In het geval van Airbnb is er volgens noyb ook sprake van een geautomatiseerd beslissingsproces, waarbij de rating van een host werd afgewaardeerd nadat een positieve recensie automatisch door het verhuurplatform werd verwijderd. Daarbij is het verhuurplatform in overtreding van de AVG, zo stelt de privacyorganisatie, die bij de privacytoezichthouder van de Duitse deelstaat Rijnland-Palts een klacht indiende.
Alles bij de bron; Security
De Amerikaanse burgerrechtenbeweging EFF luidt de noodklok over de nieuwe regels die gaan gelden voor Google Chrome-extensies en binnenkort van kracht worden. Volgens de EFF zijn de nieuwe specificaties schadelijk voor de privacy van gebruikers.
"Manifest V3 is regelrecht schadelijk voor privacymaatregelen. Het beperkt de mogelijkheden van extensies", zegt Daly Barnett van de Amerikaanse burgerrechtenbeweging. Het gaat dan met name om extensies die het verkeer tussen de browser en websites monitoren. Het gaat dan bijvoorbeeld om adblockers en privacytools, die door het nieuwe manifest veel minder effectief worden, merkt Barnett op, die toevoegt dat het ook twijfelachtig is dat Manifest V3 veel voor security zal doen.
"De ontwikkelspecificaties van browser-extensies lijken misschien overweldigend, maar de bredere gevolgen zijn voor alle internetgebruikers van belang: het is weer een stap waar Google bepaalt hoe we online leven", merkt Barnett op. "Gegeven dat Google al jaren het grootste advertentiebedrijf ter wereld is, zijn deze nieuwe beperkingen bemoeizuchtig en regelrecht eng."
"Bijna alle browser-extensies die je kent worden op de één of andere manier geraakt: degene die geluk hebben zullen 'alleen' wat problemen ervaren, sommige worden verminkt en andere zullen ophouden met bestaan", zegt Andrey Meshkov van AdGuard.
Alles bij de bron; Security