Software & Algoritmes

Samsung heeft een patch uitgebracht voor een ernstig lek in alle Galaxy-smartphones die sinds 2014 zijn uitgebracht. Met het lek in Android was het mogelijk via een .qmg-bestand een telefoon helemaal over te nemen, zonder tussenkomst van de gebruiker.

De bug is opgelost in de beveiligingsupdate van mei voor de Samsung-telefoons, de kwetsbaarheid wordt aangemerkt als 'kritiek'.

Een beveiligingsonderzoeker van Googles Project Zero ontdekte het lek. Hij publiceerde ook een proof-of-concept waarin hij laat zien hoe het lek is uit te buiten. Dat gebeurt door tussen de vijftig en driehonderd mms-berichten naar een toestel te sturen een proces dat volgens de onderzoeker rond de honderd minuten duurt. Dan kon de Android Address Space Layout Randomization worden omzeild en kon malware, verpakt in een mms, worden uitgevoerd. 

Omdat binnenkomende afbeeldingen automatisch door de library met de kwetsbaarheid worden gehaald, is geen tussenkomst van de gebruiker nodig voordat de aanval kan worden uitgevoerd. Een dergelijke zero click remote code execution is zeldzaam, zeker als die op zoveel verschillende toestellen kan worden uitgevoerd.

Samsung is de enige Android-fabrikant die .qmg-afbeeldingen ondersteunt en heeft de kwetsbaarheid gedicht nadat de beveiligingsonderzoeker het bedrijf had ingelicht.

Alles bij de bron; Tweakers


 

Frankrijk zet kunstmatige intelligentie in om te controleren hoeveel mensen mondkapjes in het openbaar vervoer dragen.

Met de software wordt anonieme statistische data verzameld. Die informatie kan onder andere worden gebruikt om te anticiperen op toekomstige uitbraken van het coronavirus. De technologie wordt niet ingezet om mensen te identificeren en te beboeten. De software genereert enkel statistieken over hoeveel mensen een mondkapje dragen. Gegevens worden niet naar de cloud geüpload. 

Deze week is er een test met de software gestart in het Parijse station Chatelet-Les Halles. Toch wordt de AI ook elders in het land al gebruikt, onder andere in bussen in Cannes. 

Alles bij de bron; RTLZ


 

De exposure notification API, een gezamenlijk initiatief van Google en Apple om overheden te helpen de Covid-19-pandemie te beteugelen, is nu de testfase ingegaan.

Met de API willen beide bedrijven, die samen vrijwel de volledige markt van smartphones van een besturingssysteem voorzien, het eenvoudig maken voor ontwikkelaars tracing-apps te bouwen die op beide platformen hetzelfde reageren. De apps kunnen gebruik maken van bluetooth low energy (LE) om een inschatting te maken van de afstand die smartphones tot elkaar hebben gehad.

Beide bedrijven publiceren vrijdag een voorbeeld van de code van zo'n app die ontwikkelaars als referentie kunnen gebruiken.

De komende weken wordt de software getest en eventuele fouten gecorrigeerd. Het is de bedoeling dat half mei de definitieve versie van de API wordt uitgegeven, samen met die van de toolsets.

Alles bij de bron; AGConnect


 

Je hebt ze de laatste weken vast voorbij zien komen: diensten als Google Meet, Zoom en Microsoft Teams. Deze videobeldiensten maken het makkelijk om je vrienden en collega’s te zien en te spreken tijdens de coronacrisis.

Het is natuurlijk ontzettend handig om vanuit huis toch face-to-face te kunnen overleggen. Maar deze diensten blijken toch behoorlijk privacygevoelig. Verschillende videobelprogramma’s kwamen dan ook onlangs in opspraak door beveiligingslekken. Wij zetten de verschillende videobeldiensten op een rij...

...3. Microsoft Teams

Wat betreft privacy doet Teams het beter dan de meeste tools. Teams is namelijk wel end-to-end versleuteld. Het is echter niet open source, dus het blijft redelijk vaag wat er precies met je gegevens gebeurt...

...5. FaceTime

FaceTime is een stuk veiliger. Apple deelt geen gegevens met andere partijen voor marketingdoeleinden. Ook zijn de gesprekken die je met de app voert standaard versleuteld. Het bedrijf maakt echter wel gebruik van van je gegevens, maar dan alleen voor haar eigen producten en diensten...

...7. Jitsi Meet

Na een onderzoek van Bits of Freedom blijkt dat Jitsi één van de veiligste en meest betrouwbare manieren is om te videobellen. De app is open source, dus iedereen kan in de broncode checken of de app ook echt doet wat er in de privacyvoorwaarden staat. Daarnaast wordt al het verkeer via Jitsi standaard versleuteld. Het fijne aan Jitsi is dat je niet in hoeft te loggen met een account, maar gewoon direct naar het videochatkanaal kunt gaan. Deze kan eventueel worden beveiligd met een wachtwoord.

Jitsi gebruikt beeld, geluid en chats van je gesprek alleen om de verbinding tot stand te brengen tussen jou en je gesprekspartners, aldus een woordvoerder van Jitsi. Gegevens worden tijdelijk opgeslagen, maar worden niet gedeeld met anderen. Na je gesprek worden deze gegevens weer verwijderd. Voor nu is Jitsi Meet dus de veiligste keus om te videobellen.

Alles bij de bron; IPhoned


 

Frankrijk werkt aan een app om de verspreiding van het coronavirus tegen te gaan. Omdat beveiligingsfuncties van het iPhone-besturingssysteem de software in de weg zitten, vraagt het land of Apple de beveiliging kan versoepelen. Dat schrijft Bloomberg.

Cédric O, de minister die zich in Frankrijk bezighoudt met digitalisering, zegt Apple te hebben gevraagd "een technische drempel" te verlagen. Dat zou noodzakelijk zijn om te app te kunnen ontwikkelen.

In iOS kunnen apps geen data uitsturen via bluetooth als de app niet actief in gebruik is. Werkt een app op de achtergrond, maar is hij niet geopend, dan kan die geen informatie uitzenden. Deze maatregel is bedoeld om de privacy van gebruikers te waarborgen.

Maar Frankrijk wil de techniek gebruiken voor een app die mensen vertelt of ze in de buurt zijn geweest van coronapatiënten. De app moet op 11 mei uitgebracht worden, maar de ontwikkeling loopt nu vertraging op. Overleg met Apple zou nog niets hebben opgeleverd.

Alles bij de bron; NU


 

De Autoriteit Persoonsgegevens (AP) kan geen oordeel geven over de opzet van de 7 ‘corona-apps’ die het ministerie van VWS heeft geselecteerd. De AP vindt dat het ministerie de kaders niet duidelijk genoeg heeft gesteld. Daardoor zijn de 7 app-voorstellen onvoldoende uitgewerkt om te kunnen beoordelen of de bescherming van gevoelige gegevens van Nederlanders voldoende is gewaarborgd.

De kaders die de overheid stelt voor de corona-app zijn onduidelijk. In het programma van eisen voor de app is een aantal fundamentele vragen onvoldoende beantwoord.
Zo is niet duidelijk omschreven wie verantwoordelijk is voor de verwerking van de gegevens. Is dat een private partij, een zorgpartij of een overheid? Ook staat in het programma van eisen niet genoemd of de app een onderdeel is van een pakket aan maatregelen en welke maatregelen dat dan zijn. Terwijl het ontwerp en de werking van een app zeer afhankelijk zijn van die overige maatregelen.

Bij een ingrijpend middel als zo’n corona-app moet de AP bovendien kunnen toetsen of de inzet ervan in verhouding staat tot de mogelijke privacyschendingen. Het moet duidelijk zijn waarom alternatieven die minder ingrijpend zijn dan een app, minder effectief zijn om het virus in te dammen. Dat is nu onvoldoende duidelijk. De AP kon de proportionaliteit van de inzet van de corona-apps daardoor niet beoordelen.

De AP heeft van de appbouwers te weinig informatie ontvangen om een goed beeld te krijgen van de opzet van hun apps. Zo leverden sommige appbouwers alleen informatie over hoe de app eruitziet voor gebruikers. Informatie over hoe de app ‘aan de achterkant’ werkt, lieten ze achterwege. Daardoor hebben de appbouwers onvoldoende aangetoond dat de privacy technisch maar ook organisatorisch gezien gewaarborgd is.

‘Het is nog maar de vraag of die app er wel kan komen’, zegt Aleid Wolfsen. ‘Natuurlijk zal de AP eventuele voorstellen voor apps opnieuw beoordelen, mocht de overheid dat vragen. Maar alleen als de effectiviteit, de kaders, de plannen en de apps beter uitgewerkt zijn.’

Alles bij de bron; AP [via de mail ontvangen]


 

Het duurt nog wel even voor er een corona-opsporingsapp is die klaar is voor gebruik. Onder de zeven app-bouwers die dit weekend hun plannen voorlegden, tekent zich nog geen geschikte kandidaat af, erkent het ministerie van Volksgezondheid.

Het is nog maar de vraag of er al snel een app ten doop wordt gehouden, concludeert Gerritsen na afloop van de zogenoemde appathon. „We hebben vooral veel geleerd.” 

Alles bij de bron; Telegraaf


 

It-ondernemer en Computable-columnist Hans van Bommel komt met het initiatief om open source een uiterst simpel werkende corona-app te ontwikkelen die de privacy respecteert en volledig transparant is. Hij wil een community om zich heen verzamelen die dit non-profit gaat doen. ‘Alles moet vanuit de burger worden opgezet,’ zegt hij. De app moet gratis beschikbaar komen zonder enig verdienmodel.

De Open Source Covid-19 Testing Support-app (app-c19) heeft als enige doel de GGD te ondersteunen bij het testen van mensen die in potentie het coronavirus hebben. Van Bommel denkt dat alleen met een volledig open initiatief voldoende draagvlak onder de Nederlandse bevolking kan worden verkregen. De zeven corona-apps die dit weekeinde tijdens de appathon van het Rijk zijn voorgeselecteerd, zijn zo massaal onder de kritiek bedolven dat geen van deze voorstellen op enig draagvlak mag rekenen.

Het zwaarst kregen de apps van Capgemini en Accenture het tijdens de appathon te verduren. Volgens experts die aan een eerdere beoordeling van de apps hadden deelgenomen, hadden beide bedrijven verzuimd iets over de privacy en beveiliging op papier te zetten. Tot hun stomme verbazing waren deze apps toch op de shortlist van het ministerie gekomen. Een aantal experts, waaronder Brenno de Winter, heeft openlijk afstand genomen van de selectieprocedure.

Bij een van de andere ‘finalisten’, Covid19 Alert, is inmiddels een datalek gevonden. Bij de beschikbaarstelling van de broncode was per ongeluk een bestand meegekopieerd met vele tientallen namen, mailadressen en versleutelde wachtwoorden.

Groot zijn de twijfels of de zeven apps die dit weekeinde aan het publiek worden gepresenteerd, ooit zullen gaan werken en breed worden omarmd. Minister De Jonge’s inzet dat de app zeker door 60 procent van de bevolking moet worden gebruikt, lijkt nu al volstrekt onhaalbaar. Experts als Danny Mekic, internetpionier Marleen Stikker en het D66-kamerlid Kees Verhoeven hebben daar hun grote twijfels over uitgesproken.

Het concept voor een open source covid-19 testing support app (app-c19) vraagt helemaal geen persoonsgegevens. De gebruiker hoeft app-c19 alleen maar te downloaden in de appstore. Dan is de app direct operationeel. De app staat gewoon ‘aan’. Als de gebruiker ervan af wil, verwijdert hij hem van de telefoon. Wanneer bluetooth tracking wordt uitgezet, werkt de app overigens ook niet meer. De app gebruikt geen locatiegegevens.

Uitgangspunt van de app is privacy by design. De app legt alleen vast welke andere smartphone de afgelopen dagen vanaf het moment dat de besmetting plaatsvond, het pad van de telefoonbezitter heeft gekruist binnen een bepaalde afstand. Desnoods kan hier nog aan worden toegevoegd hoe lang het contact heeft geduurd. Van Bommel: ‘Meer informatie is niet nodig.’

Wanneer de gebruiker corona-klachten heeft belt deze de GGD en ondergaat een test. Als de uitslag positief is, volgt quarantaine. De GGD kan met een token via app-c19 een bericht sturen naar de telefoon van de gebruiker. Dit gaat door fysiek en dus handmatig een qr-code te scannen. De corona-token informeert via het systeem de mensen die in de buurt van de besmette gebruiker zijn geweest. Van Bommel verwacht binnen zes á acht weken live te kunnen gaan.

Alles bij de bron; Computable


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha