AVG Awareness, Privacy Nieuws
Je bent onderweg en moet een dringend telefoontje plegen of een mailbericht beantwoorden. Probleem. Je accu is bijna leeg en je hebt je laadstekker niet bij je. Wat doe je?
De meeste mensen vragen dan aan iemand in de buurt of ze even hun laadkabel mogen gebruiken. Vaak mag dat. De smartphone wordt soms afgegeven en kan dan achter een balie bij een bedrijf, restaurant of hotel, worden opgeladen terwijl jij iets anders doet.
Los van het risico dat je smartphone dan onbeheerd op een onbekende plek ligt komt er sinds kort een nieuw risico bij. Is de laadkabel van die vriendelijke wildvreemde persoon die je helpt wel veilig?
Een anonieme veiligheidsonderzoeker die actief is op Twitter onder de naam MG bracht enkele tientallen iPhone oplaadkabels naar een hackersconferentie in Las Vegas en verkocht ze voor 200 dollar per stuk. De kabels waren binnen enkele dagen uitverkocht, de hackers betaalden bereidwillig 190 dollar meer dan in de winkel. Omdat MG de originele Apple kabels dusdanig had aangepast dat niet te zien viel dat er mee geknoeid was.
Als je zo’n kabel op een Apple computer aansluit, kun je je je iPhone er gemakkelijk mee opladen. Maar tegelijkertijd opent de chip die MG in de USB-stekker heeft gesoldeerd een verborgen draadloos netwerk. De hacker kan dankzij die chip eenvoudig de scherminhoud van de Mac zien, muisbewegingen en toetsenbordgegevens lezen of spionagesoftware installeren.
De hacker noemt zijn kabels OMG-kabels. De afkorting voor “Oh, mijn God!”) en gaf in het vakblad “Vice Motherboard” aan dat hij de aanpassingen voor iedere een USB-kabel kan maken. Ook voor Android toestellen. De Apple kabels zijn het moeilijkst, alle andere zijn makkelijker aan te passen.
De kans is groot dat het voorbeeld van MG gekopieerd wordt of al is door kwaadwillige hackers. En door buitenlandse inlichtingendiensten.
Privacy Nieuws
Whatsapp is weer eens in opspraak. De populaire chatdienst lijkt op Android smartphones eenvoudig te kunnen worden gehackt.
Onderzoekers van de antivirusspecialist Symantec hebben een lek ontdekt die kan worden gebruikt om mediabestanden aan te vallen. In een blogartikel beschrijven ze de zogenaamde Media File Jacking, die betrekking heeft op de versie van Messenger voor Android mobiele telefoons.
Volgens Symantec kunnen hackers gebruik maken van andere apps die op de smartphone zijn geïnstalleerd en die toegang hebben tot het externe geheugen om de privéfoto’s, video’s en spraakberichten van Whatsapp-gebruikers te bekijken en deze in realtime aan te passen voordat ze aan de ontvanger worden getoond.
Dit kan ernstige gevolgen hebben als het bijvoorbeeld wordt gebruikt tegen publieke personen als politici en artiesten, leggen de onderzoekers uit.
Whatsapp heeft nog niet gereageerd op de onthulling. Gebruikers van Whatsapp kunnen volgens de experts zichzelf eenvoudig beschermen. Zo kan bijvoorbeeld de opslag van mediabestanden op externe opslag worden gedeactiveerd om het risico van aanvallen te verminderen. Om dit te doen, ga naar Instellingen > Chats in Whatsapp en sleep de schuifregelaar bij Media Visibility naar links zodat deze niet langer groen wordt weergegeven.
Privacy Nieuws
Nieuwe iPhones zijn nu net zo gemakkelijk te hacken als Android-telefoons. Het Israëlische digitaal forensische bedrijf Cellebrite zegt een tool te hebben ontwikkeld waarmee alle huidige apparaten eenvoudig ontgrendeld kunnen worden.
Zelfs voor politieagenten en inlichtingendiensten was het tot dusver moeilijk om iPhones en iPads te kraken. De Israëli beweren dat het dat wel kan. Het bedrijf Cellebrite zegt zelfs alle huidige iPhones met iOS 12.3 en high-end Android-telefoons te kunnen ontgrendelen.
Cellebrite kondigde met trots via Twitter aan dat ze elke Android mobiele telefoon en nu elk iOS-apparaat vanaf iOS 12.3 kan kraken.
Dit baart niet alleen fabrikanten en klanten zorgen. De Hacker-methode van Cellebrite wordt namelijk niet in het eigen laboratorium achter slot en grendel uitgevoerd, maar wordt verkocht.
De tool “#UFED Premium” is ingebouwd in apparaten die mobiele telefoons zonder code kunnen ontgrendelen.
Dit is normaal gesproken alleen beschikbaar voor onderzoekers, militairen en inlichtingendiensten zoals de FBI, met wie Cellebrite beweert samen te werken.
Hacking tool op eBay
Deskundigen vrezen dat de tool veel te gemakkelijk in verkeerde handen kan komen.
Begin maart 2019 meldden verschillende media dat ze de mobiele telefoonhacktool op eBay hadden gezien. Het is duidelijk dat de hackmethode zo ook gemakkelijk gebruikt kan worden door criminelen of foute regimes.
Zelfs Cellebrite was verward over de tweedehandsverkoop van zijn apparatuur. Het waren immers waarschijnlijk oude apparaten waarmee de huidige Android mobiele telefoons en iPhones waarschijnlijk niet gehackt konden worden. Maar zelfs deze moeten teruggestuurd worden naar het bedrijf in plaats van dat ze doorverkocht worden.
De Israëli zijn niet de enige aanbieders van hackingtools voor smartphones. De Amerikaanse concurrent Grayshift biedt de iPhone-hack voor 30.000 dollar aan en zit Cellebrite er mee op de hielen. De zogenaamde GrayKey box kan echter alleen oudere iPhones kraken.
Apple ontwikkelt al tegenmaatregelen om zijn iPhones en iPads te beschermen. Met de aankomende iOS 13 worden Apple apparaten dan beschermd tegen de methoden van dergelijke beveiligingsbedrijven.
Privacy Nieuws
Quora, een populaire site waar gebruikers vragen kunnen stellen en antwoorden kunnen geven, heeft een groot datalek gemeld. Cybercriminelen hebben gegevens van 100 miljoen Quora gebruikers buitgemaakt.
Quora meldt dat het datalek op 30 november 2018 is ontdekt. Quora heeft alle gebruikers uitgelogd en dwingt alle accounts om het wachtwoord te resetten.
Welke gegevens zijn er gelekt bij Quora?
- Accountinformatie, zoals naam, e-mailadres, versleuteld (hashed) wachtwoord, gegevens geïmporteerd uit gekoppelde netwerken wanneer de gebruikers daarvoor toestemming hebben gegeven.
- Publieke inhoud en acties, zoals vragen, antwoorden, commentaar, opmerkingen, upvotes
- Niet-openbare inhoud en acties, zoals antwoordverzoeken, downvotes, directe berichten.
- Vragen en antwoorden die anoniem zijn geschreven worden niet beïnvloed door deze schending, omdat Quora de identiteit van mensen die anonieme inhoud plaatsen niet opslaat.
De overgrote meerderheid van de geraadpleegde inhoud was al openbaar op Quora, maar het lekken van account- en andere privacygevoelige informatie is ernstig.
Privacy Nieuws
Consumentenorganisaties in Nederland, Polen, Griekenland, Noorwegen, Slovenië, Zweden en Tsjechië klagen Google aan wegens onrechtmatige monitoring van de locatie van gebruikers. De zeven organisaties hebben hun krachten gebundeld. Ze hebben ieder bij hun eigen nationale Autoriteit Persoonsgegevens (AP) een klacht ingediend tegen de internetgigant.
Google schendt volgens de consumentenorganisaties op grote schaal de Algemene Verordening Gegevensbescherming (AVG).
Google volgt zijn gebruikers via “Locatiegeschiedenis” en “Web & App Activity”, instellingen die in alle Google-accounts zijn geïntegreerd. Voor degenen die gebruik maken van Android-smartphones, waaronder Samsung en Huawei-telefoons, is tracking bijzonder moeilijk te vermijden.
De klachten zijn gebaseerd op nieuw onderzoek van de Noorse consumentenbond Forbrukerradet, die lid is van de Europese consumentenorganisatie BEUC.
De consumentenorganisaties beschuldigen Google van ,,bedrieglijke praktijken” om gebruikers ertoe te brengen om in diverse Google applicaties het trackingsysteem te activeren waarmee Google kan bepalen waar iemand zich bevindt.
Volgens de consumentenorganisaties overtreedt Google de Algemene Verordening Gegevensbescherming ook omdat het bedrijf
geen “eenvoudige informatie” heeft verstrekt over wat het opgeven van de gegevens werkelijk met zich meebrengt en “de consument in het ongewisse laat over het gebruik van zijn persoonlijke gegevens.
“Locatiegegevens kunnen veel onthullen over mensen, waaronder religieuze overtuigingen (naar plaatsen van aanbidding), politieke gezindheid (naar demonstraties), gezondheidsproblemen (regelmatige ziekenhuisbezoeken) en seksuele geaardheid (bezoek aan bepaalde bars)”, zeggen de consumentenorganisaties.
Gro Mette Moen, waarnemend hoofd van de eenheid, digitale diensten in de Noorse Consumentenbond, zegt dat Google zeer gedetailleerde en uitgebreide persoonlijke gegevens verwerkt zonder de juiste juridische gronden, en die gegevens verkrijgt door manipulatietechnieken.
Hij voegde eraan toe dat Google registreert waar gebruikers naartoe gaan, en hoe ze zich verplaatsen, en deze gegevens kunnen worden gecombineerd met andere informatie, zoals wat gebruikers zoeken en de websites die ze bezoeken.
“Dergelijke informatie kan op zijn beurt weer worden gebruikt voor zaken als gerichte reclame die bedoeld is om ons te beïnvloeden wanneer we ontvankelijk of kwetsbaar zijn.”
Een gedetailleerd rapport zei er verscheidene manieren Google trucs zijn gebruikers in het delen van hun plaats zijn.
In de eerste plaats gebeurt dit door middel van een misleidende click-flow, die gebruikers er bij het opzetten van een Android-toestel toe aanzet om de “Locatiegeschiedenis” in te schakelen zonder dat ze daarvan op de hoogte zijn. Dit is in strijd met de wettelijke verplichtingen van het GDPR om geïnformeerde en vrijelijk toestemming te vragen.
Vervolgens worden de standaardinstellingen voor “Web & App Activity” verborgen achter extra klikken en standaard ingeschakeld.
Google geeft ook misleidende en onevenwichtige informatie, beweert de groep, aangezien gebruikers onvoldoende informatie krijgen wanneer zij keuzes krijgen voorgelegd en misleid worden over de gegevens die worden verzameld en hoe deze worden gebruikt. Bijvoorbeeld, informatie over hoe locatiegegevens worden gebruikt voor reclame wordt verdoezeld achter extra kliks.
