Nieuws

"MacOS lekt ip-adres gebruiker door qr-codes in achtergrond te scannen"

woensdag 5 oktober 2022, 18:03 door Redactie, 8 reacties

Laatst bijgewerkt: 05-10-2022, 22:48

MacOS lekt het ip-adres van gebruikers door lokaal opgeslagen qr-codes in de achtergrond te scannen en uit te voeren, zonder dat gebruikers hier weet van hebben. Dat stellen Matt Hodges van Zinc Labs en Simon Willison, medebedenker van het Django-framework. Inmiddels zijn ze echter op hun claims teruggekomen.

Hodges had een qr-code gemaakt die als "canary token" moest fungeren. Het idee is dat de qr-code ergens wordt geplaatst. Wanneer iemand die hier geen toegang toe zou moeten hebben de qr-code scant, de vervolgens geladen website ervoor zorgt dat er een waarschuwingsmail wordt verstuurd met informatie over het ip-adres en gebruikte user agent van de betreffende persoon.

Een aantal dagen geleden had Hodges een dergelijke qr-code gemaakt waarbij hij een e-mail zou ontvangen bij het scannen van de qr-code, maar besloot daar niets mee te doen en had het bestand in zijn downloadmap gelaten. Vandaag ontving hij opeens allerlei e-mails dat de code was gescand. Verder onderzoek wees uit dat de scan vanaf zijn eigen systeem was uitgevoerd. Mogelijk dat dit ook gebeurt op iOS, aldus Hodges, die van een privacyprobleem spreekt.

Waarom Apple de afbeeldingen van gebruikers scant wordt mogelijk gedaan voor het maken van previews of indexeren via Spotlight, laat iemand op Hacker News weten.

Update

Hodges en Willison laten weten dat de gemaakte claim niet correct is. De qr-code werd niet door macOS gescand, maar via de "recente" shortcuts op het startscherm van Firefox, aldus Hodges.

Australische tiener aangehouden voor afpersen Optus-klanten met gestolen data

Exchange-regels tegen doorsturen e-mail te omzeilen via cc-regel Outlook

Reacties (8)

05-10-2022, 18:16 door Anoniem

Erger vind ik dat de camera blijkbaar op se achtergrond altijd aan staat. Dus ook je piemel wordt gescanned en je huiskamer.

05-10-2022, 18:58 door Anoniem

Is dit een bug in Apple's Client Side Scanning?

Verder zou het interessant zijn om te weten vanaf welk device de URL wordt geopend. Is het de macbook van Matt Hodges of is is het iets in de anti-malware cloud van Apple? In het latere geval is de impact op privacy minder.

05-10-2022, 21:53 door Anoniem

En dit is net goedgekeurd door de Duitse overheid voor het verwerken van vertrouwelijke informatie….zie eerder bericht vandaag.

05-10-2022, 22:00 door Erik van Straten

Matt Hodges meldt dat hij een verkeerde conclusie hetrokken heeft:
https://twitter.com/hodgesmr/status/1577739222412312578

06-10-2022, 07:11 door Anoniem

Door Anoniem: Erger vind ik dat de camera blijkbaar op se achtergrond altijd aan staat. Dus ook je piemel wordt gescanned en je huiskamer.

Nee, hieruit blijkt niet dat de camera altijd aan staat. Het gaat hier om het ontcijferen van QR-codes in afbeeldingen die op een computer zijn opgeslagen. Daar komt geen camera aan te pas.

Ook als een QR-code met een camera wordt gescand is er een afbeelding als tussenstap. De camera levert een foto op (of een frame uit een filmpje), en het algoritme dat de QR-code ontcijfert gebruikt de pixels van die foto. Dat algoritme is totaal onafhankelijk van de camera, het kan pixels van elke afbeelding gebruiken, ook bijvoorbeeld QR-codes in afbeeldingen die ergens op een website staan of die zijn opgeslagen op je computer. Daar gaat het hier over.

06-10-2022, 12:36 door Anoniem

Door Anoniem: Erger vind ik dat de camera blijkbaar op se achtergrond altijd aan staat. Dus ook je piemel wordt gescanned en je huiskamer.

Dat zegt meer over jezelf, dan over het artikel!

06-10-2022, 13:00 door Briolet - Bijgewerkt: 06-10-2022, 13:00

Inmiddels zijn ze echter op hun claims teruggekomen.

Wat is dit voor een non-informatie op security. De onderzoekers denken iets gezien te hebben, maar komen nu tot de ontdekking da het niet klopt. Plaats het hele artikel dan niet.

Zal wel met het click-bait beleid van te doen hebben.

Dan heb ik nog wel duizend vergelijkbare artikels die men kan plaatsen.

"De eerste quantum computer die AES 256 encrytie kan kraken is on-line...........
......leuk geschreven body tekst ......
..... update: nader onderzoek wijst uit dat het hele artikel niet klopt"

06-10-2022, 14:40 door Anoniem

Door Briolet:

Inmiddels zijn ze echter op hun claims teruggekomen.

Deels mee eens, maar ook de "onderzoekers" mag hier wel wat verweten worden, juist omdat dit soort nieuws als een lopend vuurtje gaat. Zo'n onterechte beschuldiging getuigd niet bepaald van een grondig onderzoek.
Voordat je zoiets plaats wil je toch eerst goed verifiëren of je bevindingen juist zijn.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer