Sites konden iPhone-gebruikers zonder melding afluisteren
Apple heeft gisteren een belangrijke beveiligingsupdate voor iOS uitgebracht die meerdere lekken verhelpt, waaronder twee kwetsbaarheden waardoor apps en websites gebruikers zonder melding konden afluisteren. Ook waren gebruikers kwetsbaar voor een aanval via sms-links en wifi-tracking.
IOS 12.2 verhelpt in totaal 51 beveiligingslekken. Twee van de kwetsbaarheden hadden betrekking op het gebruik van de microfoon door apps en websites. Normaliter is het zichtbaar voor een gebruiker als een app of website toegang tot de microfoon krijgt. De ene kwetsbaarheid zorgde ervoor dat apps zonder melding aan de gebruiker de microfoon konden benaderen. Het andere lek maakte het mogelijk voor websites om de microfoon te gebruiken, zonder dat de indicator die dit laat zien werd weergegeven. Tevens bleek dat websites zonder toestemming van gebruikers sensorgegevens konden benaderen.
Daarnaast is er een probleem verholpen waardoor gebruikers bedrijfsbeheerders toegang konden geven om hun apparaat op afstand te wissen, zonder dat dit duidelijk werd gemeld. Verder kon het verwerken van een speciaal geprepareerd bestand informatie over de gebruiker lekken. Door het klikken op een kwaadaardige sms-link was het mogelijk voor een aanvaller om willekeurige code op het toestel uit te voeren. Ook het bezoeken van een kwaadaardige website met Safari gaf een aanvaller deze mogelijkheid.
Een kwetsbaarheid in Mail zorgde ervoor dat het openen van een kwaadaardige e-mail tot S/MIME signature spoofing kon leiden. Daarnaast kon het bezoeken van een kwaadaardige website met Safari ervoor zorgen dat gevoelige gebruikersgegevens lekten. Een beveiligingslek in het Wifi-onderdeel van iOS zorgde ervoor dat toestellen passief via hun MAC-adres konden worden gevolgd. Apple heeft dit "privacyprobleem" verholpen door het "broadcast MAC-adres" te verwijderen. Updaten naar iOS 12.2 kan via iTunes en de Software Update-functie.
Maar wat vertrouwt u nog wel dan?
Alle software kan fouten bevatten, het gaat er met name om hoe snel deze problemen door de fabrikanten opgelost worden.
Het valt mij alleen wel op dat als dit artikel over Chrome, Android of Windows zou gaan, de hele comment section los zou gaan, maar nu is er niemand te bekennen..
Waarom is het ok dat onze overheid criminele gedragingen meent te moeten inzetten en te legaliseren.
De sleepwet is een schandalig immorele en foute perverse kut wet. Alle betrokkenen, steuners, opstellers zouden veroordeeld moeten worden voor burger /data tereur en een levenslang beroepsverbod voor de betrokken politici en ambtenaren.
Super teleurstellend dat vvd, pvda, cda, d66 gewoon weer de electorale meerderheid hebben kunnen bemachtigen.
Onze democratie faalt doordat het volk weigert na te denken en keer op keer leugenaars opnieuw steunt.
Feiten en mythe's zijn voor veel Android gebruikers lastig te scheiden.
Ah - dus jouw 3-jaar oude Android heeft inmiddels alle openstaande vulnerabilities gefixed met een recente software update?
Ah - dus jouw 3-jaar oude Android heeft inmiddels alle openstaande vulnerabilities gefixed met een recente software update?
Ah - dus jouw 3-jaar oude Android heeft inmiddels alle openstaande vulnerabilities gefixed met een recente software update?
Je mag al blij zijn als een 3 maanden oude Android een update krijgt.
Ah - dus jouw 3-jaar oude Android heeft inmiddels alle openstaande vulnerabilities gefixed met een recente software update?
Ja, zoiets. Alleen dan een graadje erger :-)
Mijn huidige Fairphone 2 hardware draait op momenteel op zelf-gecompileerde Minix firmware en een Debian GNU / SELinux systeem, dat laatste in de vorm van een geheel bijgewerkte en volledig open Ubuntu Touch versie.
Die paar Android apps waar ik nog niet zonder mee kon, draaien daarop in een Anbox sandbox. Helaas is de Fairphone 2 geen open hardware, maar om een een of andere reden gaat de batterij een viertal keren langer mee dan voorheen.
Feiten en mythe's zijn voor veel Android gebruikers lastig te scheiden.
Google's Android is een gedrocht, volledig mee eens. Apple's iOS voor de iPhone is helaas ook niet veel beter. Grootste probleem met de iPhone is dat dat ding niet alleen niet te repareren valt, maar ook dat de veiligheid is gebaseerd op "security by obscurity". Dat is foute boel. Veel geld neerleggen voor een fictie.
Helaas zijn er voor doorsnee consumenten weinig goede alternatieven voorhanden, afgezien van een LineageOS.org image op je Android mobieltje weten te branden of overschakelen naar een simpele dumb phone. Het nog veiliger alternatief daarvoor is Replicant van de FSF, maar dat is zo basaal dat je net zo goed een dumb phone kunt hebben.
https://www.fsf.org/blogs/community/the-apple-is-still-rotten-why-you-should-avoid-the-new-iphone
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
