Maandelijks archief december 2018

doorSecuratis

Populaire Android-apps delen automatisch data met Facebook

Tal van populaire Android-apps met miljoenen gebruikers delen automatisch data met Facebook, ongeacht of de gebruikers ook op het sociale netwerk actief zijn. Dat blijkt uit onderzoek van Privacy International dat 34 Android-apps analyseerde, die elk tussen de 10 miljoen en 500 miljoen gebruikers hebben.

Het gaat om apps die gebruikmaken van de Facebook Software Development Kit (SDK). Ontwikkelaars gebruiken deze SDK voor het ontwikkelen van apps voor een specifiek besturingssysteem. 61 procent van de onderzochte apps verstuurt automatisch data naar Facebook zodra de gebruiker de app opent (pdf). Dit gebeurt ongeacht of de gebruiker een Facebookaccount heeft of dat hij op Facebook is ingelogd of niet.

De verstuurde data laat weten welke app de gebruiker opent. Daarnaast blijken de apps die data naar Facebook versturen deze data van een unieke identificatie te voorzien. Het gaat om het Google advertentie-ID. Adverteerders kunnen gebruikers zo over meerdere apps volgen.

Wanneer data van verschillende apps wordt gecombineerd kan dit een uitgebreid en intiem beeld van iemands leven schetsen, zo waarschuwt Privacy International. De organisatie ontdekte dat de prijsvergelijkings-app Kayak zeer gedetailleerde en soms gevoelige informatie naar Facebook verstuurt, zoals informatie over vluchten. Het gaat dan om vertreklocatie, vertrekvliegveld, aankomsttijden, aankomstvliegveld, aantal tickets, aantal kinderen en soort ticket.

Verantwoordelijkheid

Volgens Privacy International legt Facebook de verantwoordelijkheid voor het verzamelen en doorsturen van data bij de app-ontwikkelaars die de SDK gebruiken. Die zouden ervoor moeten zorgen dat ze toestemming van gebruikers krijgen. De standaardimplementatie van de Facebook SDK is echter om automatisch data naar Facebook terug te sturen.

Sinds de AVG op 25 mei dit jaar van kracht werd hebben ontwikkelaars bij Facebook aangeklopt dat de SDK automatisch data verstuurt voordat er aan gebruikers om toestemming is gevraagd. Eind juni kwam Facebook daarop met een vrijwillige optie waarmee ontwikkelaars het doorsturen van data kunnen vertragen totdat ze toestemming van de gebruiker hebben gekregen.

Privacy International blijft kritisch. “Zonder verdere transparantie van Facebook is het onmogelijk om te weten hoe de data wordt gebruikt. Dit is met name het geval aangezien Facebook in het verleden allesbehalve transparant is geweest over de manier waarop het data van niet-Facebookgebruikers gebruikt”, zo stelt de organisatie. Daarnaast spelen er volgens Privacy International verschillende juridische vragen of de Europese privacywetgeving hier niet wordt overtreden. Het onderzoek werd tijdens het jaarlijkse Chaos Communication Congress in Leipzig gepresenteerd.

https://www.security.nl/posting/592465/Populaire+Android-apps+delen+automatisch+data+met+Facebook?channel=rss

doorSecuratis

US-CERT: Internet of Things-apparaten niet altijd veilig

Wie tijdens de afgelopen feestdagen een Internet of Things-apparaat of ander ‘smart device’ cadeau heeft gekregen moet weten deze apparatuur niet altijd veilig is, zo waarschuwt het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT).

“Deze technologie maakt ons leven gemakkelijk, maar het vereist dat we meer informatie dan ooit tevoren delen. De veiligheid van deze informatie en de veiligheid van deze apparaten is niet altijd gegarandeerd”, aldus het US-CERT. Wie een nieuw IoT-apparaat aansluit moet dan ook verschillende maatregelen nemen.

Zo adviseert het US-CERT om een veilig wachtwoord te kiezen. Sommige IoT-apparaten worden met standaardwachtwoorden geleverd die eenvoudig via internet zijn te vinden. Verder moeten gebruikers naar de veiligheidsinstellingen van het apparaat kijken. Het inschakelen van bepaalde instellingen om het gemak te vergroten kan gebruikers meer risico laten lopen.

Gebruikers wordt ook aangeraden om tijdig beschikbare beveiligingsupdates te installeren. Als laatste adviseert het US-CERT om eerst na te denken voordat een apparaat op internet wordt aangesloten. “Zodra een apparaat met internet is verbonden, is het ook met miljoenen andere computers verbonden, waardoor aanvallers je apparaat kunnen benaderen. Ga na of continue connectiviteit echt nodig is.”

https://www.security.nl/posting/592462/US-CERT%3A+Internet+of+Things-apparaten+niet+altijd+veilig?channel=rss

doorSecuratis

Kamervragen over capaciteit Defensie Cyber Commando

ik wil dolgraag voor defensie of de politie werken, maar mijn hypotheek moet ook betaald worden en voor wat ze daar betalen is zo rond de 20e van de maand mijn geld op.

Dat is wel bij te plussen als je gevarengeld meetelt en wat andere dingetjes erbij schnabbelt, maar met een vrouw en kinderen zit ik niet echt op gevarengeld te wachten, ik heb dan liever dat ik ergens anoniem mijn knappe digitale dingen doe, en er een stel digitale en fysieke vechtjassen zorgen voor mijn veiligheid.

Maar ja, als ik lees dat email binnen defensie al onbeveiligd is, moet ik dan voor een sollicitatie gaan whatsappen met ze?
Vladimir ziet mijn sollicitatie met vertrouwen tegemoet, profiled wat ik al kan, wat ik daar vermoedelijk ga doen, en tagged mijn kinderen alvast voor als het nodig is.

https://www.security.nl/posting/592312/Kamervragen+over+capaciteit+Defensie+Cyber+Commando?channel=rss

doorSecuratis

Guardzilla IoT-camera lekt beelden door hardcoded wachtwoord

Een Internet of Things-camera van fabrikant Guardzilla maakt gebruik van een hardcoded wachtwoord waardoor een aanvaller toegang kan krijgen tot beelden van gebruikers die de camera in de cloud opslaat. Het gaat om het cameramodel GZ521W, maar mogelijk zijn ook andere modellen kwetsbaar.

Het videobeveiligingssysteem van Guardzilla wordt aangeboden als een oplossing om woningen mee te monitoren. Gebruikers kunnen beelden live via een smartphone-app bekijken. Daarnaast worden beelden die de bewegingsmelder maakt naar de cloud geupload. Het gaat in dit geval om de cloud van Amazon.

Tijdens een recent hackerevenement analyseerden onderzoekers van 0DayAllDay de firmware van de camera en ontdekten daarin een hardcoded wachtwoord. Met dit wachtwoord is het mogelijk om toegang te krijgen tot alle beelden die door de camera in de cloud zijn opgeslagen. Guardzilla werd op 24 oktober ingelicht, alsmede het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit en securitybedrijf Rapid7.

Deze twee organisaties stuurden ook een waarschuwing naar de camerafabrikant, maar kregen geen reactie. Aangezien Guardzilla meer dan 60 dagen de tijd heeft gekregen om te reageren hebben de onderzoekers en Rapid7 besloten om de details openbaar te maken. Gebruikers van een Guardzilla IoT-camera krijgen het advies om de cloudopslag voor hun apparaat uit te schakelen.

https://www.security.nl/posting/592288/Guardzilla+IoT-camera+lekt+beelden+door+hardcoded+wachtwoord?channel=rss

doorSecuratis

Onderzoekers omzeilen biometrische aderherkenning met nephand

Door Anoniem: Een geldautomaat die niet belazerd kan worden. Wat is daar dan aan. Waar is de romantiek van zo een apparaat?

Voor het geval jouw bijdrage niet sarcastisch bedoeld was: het is uiteindelijk niet de geldautomaat die belazerd wordt. En ik zie niet wat er romantisch aan is als criminelen zich voor kunnen doen als jou en, onder meer, jouw geld kunnen opnemen. Waarna jij maar moet zien te bewijzen dat niet jij dat geld hebt opgenomen.

Daarom is het goed dat dit soort onderzoek gedaan en gepubliceerd wordt.

Helaas zijn er “security specialisten” van Fujitsu, Microsoft en andere clubs die het verschil tussen identificatie en authenticatie niet (willen) snappen, waarschijnlijk vanuit zakelijke perspectieven (Nb. roeptoeteraars niet gehinderd door enige inhoudelijke kennis, maar ook trollen, bots en zelfs ordinaire criminelen, geven ook hun “mening” op dit forum: geloof niet alles wat je leest – ook ik zwam wel eens). “Security specialisten” die, ondanks dit soort onthullingen, bij hoog en bij laag blijven volhouden dat biometrische gegevens bruikbaar zijn voor authenticatie. Echter, niet zij betalen de rekening als het fout gaat; dat doe jij.

P.S. het beste systeem voor authenticatie dat ik ken, is het bewijzen dat je een geheim kent dat je nooit prijsgeeft. Helaas kunnen mensen de nu bekende typen private keys niet onthouden, noch de noodzakelijke berekeningen met die sleutel en bijbehorende public key in ons hoofd uitvoeren. The next best thing is, vermoed ik, een betrouwbaar “kastje” dat dit voor ons doet, nadat we het unlocken met een pincode of wachtwoord (een shared secret tussen onze brein en dat “kastje”). Bij verlies, diefstal en/of compromittering: revoken, nieuw sleutelpaar genereren en, indien nodig, een nieuw kastje – en op betrouwbare wijze aan stakeholders kenbaar kunnen maken dat een public key van jou is (een proces dat ook bij biometrie veilig moet gebeuren).

https://www.security.nl/posting/592286/Onderzoekers+omzeilen+biometrische+aderherkenning+met+nephand?channel=rss

doorSecuratis

WannaCry-ransomware na anderhalf jaar nog steeds actief

Ruim anderhalf jaar na de uitbraak van de WannaCry-ransomware is de malware nog steeds op een groot aantal systemen actief. Dat blijkt uit cijfers van securitybedrijf Kryptos Logic. Een onderzoeker van het bedrijf registreerde kort na de eerste infecties een domeinnaam die als killswitch voor de ransomware fungeert.

WannaCry probeert op besmette machines met deze domeinnaam verbinding te maken. Wanneer er verbinding wordt gemaakt stopt de ransomware met werken en worden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. Aangezien de domeinnaam in handen van Kryptos Logic is kan het bedrijf zien hoe vaak besmette machines verbinding maken.

Vorige week zag Kryptos Logic gedurende zeven dagen meer dan 17 miljoen ‘beacons’ (verbindingen) van besmette machines, afkomstig van ruim 639.000 unieke ip-adressen. De getroffen machines zijn aanwezig in 194 landen en de meeste infecties bevinden zich in China, Indonesië, Vietnam en India.

Door dhcp (dynamic host configuration protocol), dat veel organisaties gebruiken om machines in het interne netwerk van ip-adressen te voorzien, is het onduidelijk hoeveel computers daadwerkelijk nog zijn besmet, maar de dreiging is nog altijd aanwezig, aldus het securitybedrijf.

“Niemand maakt zich meer druk om WannaCry, het is oud nieuws. Maar voor ons blijft de killswitch van groot belang”, zegt onderzoeker Jamie Hankins van Kryptos Logic. Hij merkt op dat de schade enorm kan zijn als de killswitch door een storing niet bereikbaar is. Organisaties worden dan ook opgeroepen om hun systemen te patchen en op te schonen.

De kwetsbaarheid waar WannaCry misbruik van maakt werd op 14 maart 2017 door Microsoft gepatcht. Het feit dat de ransomware nog steeds actief is houdt in dat organisaties al meer dan anderhalf jaar lang geen beveiligingsupdates voor Windows hebben geïnstalleerd of besmette machines hebben opgeschoond.

https://www.security.nl/posting/592283/WannaCry-ransomware+na+anderhalf+jaar+nog+steeds+actief?channel=rss

doorSecuratis

Duizenden jacuzzi’s door lek op afstand te bedienen

Duizenden jacuzzi’s zijn door een beveiligingslek op afstand door aanvallers te bedienen, zo heeft een Brits securitybedrijf ontdekt. Het gaat om jacuzz’s van fabrikant Balboa Water Group (BWG), die zijn voorzien van een eigen wifi-accesspoint. Via een app van BWG is het mogelijk om de watertoevoer en de temperatuur in te stellen.

De app kan als een client verbinding maken en de jacuzzi lokaal bedienen. Het kan de jacuzzicontroller ook configureren zodat het als een client op het thuisnetwerk beschikbaar is. Op deze manier is het mogelijk om via een programmeerinterface (API) de jacuzzi waar dan ook ter wereld te bedienen. Wereldwijd zouden er meer dan 30.000 BWG-jacuzzi’s online zijn.

Onderzoeker Ken Munro van Pen Test Partners ontdekte dat het wifi-netwerk van de jacuzzi niet beveiligd is. Iedereen in de buurt kan er verbinding mee maken en zo het apparaat bedienen. Munro wilde ook kijken of hij alle jacuzzi’s van BWG kan bedienen, waar ze zich ook bevinden. Dit blijkt mogelijk via de API. Die maakt gebruik van een vast wachtwoord en gebruikt het mac-adres van het wifi-netwerk van de jacuzzi als identificatie.

Het achterhalen van alle mogelijke mac-adressen van de jacuzzi’s bleek eenvoudig. Niet alleen kan een aanvaller zo de temperatuur bedienen en onnodig elektriciteit verspillen, het bubbelbad schakelt de blazers automatisch in wanneer iemand in de jacuzzi zit. Dit wordt weergegeven via de API. Een aanvaller kan zo zien wanneer iemand een bad aan het nemen is.

Pen Test Partners waarschuwde BWG voor de problemen, maar kreeg geen reactie. Pas nadat de BBC zich ermee bemoeide kwam het bedrijf met een verklaring. Het liet weten dat het opzettelijk voor een standaardwachtwoord en onbeveiligd wifi-netwerk had gekozen om het gebruiksgemak te vergroten. Munro heeft de details nu openbaar gemaakt omdat BWG het probleem eenvoudig kan verhelpen door de API uit de lucht te halen en gebruikers het advies te geven om hun jacuzzi van het internet af te sluiten.

https://www.security.nl/posting/592235/Duizenden+jacuzzi%27s+door+lek+op+afstand+te+bedienen?channel=rss

doorSecuratis

Webwinkel slijterijketen BevMo getroffen door creditcardskimmer

De Amerikaanse slijterijketen BevMo heeft bijna 15.000 klanten gewaarschuwd dat hun creditcardgegevens zijn gestolen bij het plaatsen van een online bestelling. Criminelen hadden een zogeheten creditcardskimmer aan de betaalpagina van de BevMo-webwinkel toegevoegd.

Deze skimmer, die ingevulde creditcardgegevens verzamelde en naar de criminelen doorstuurde, was van 2 augustus tot 26 september dit jaar actief. De malware verzamelde namen, creditcardnummer, verloopdatum, CVV2-codes, adresgegevens, factuuradres en telefoonnummers. Hoe de kwaadaardige code op de betaalpagina kon worden geplaatst laat BevMo niet aan het ministerie van Justitie van de staat Californie weten (pdf). Naast een webwinkel heeft BevMo ook 148 fysieke winkels in de Verenigde Staten.

Het afgelopen jaar zijn duizenden webwinkels getroffen door creditcardskimmers. Ook verschillende grote namen zoals British Airways, Ticketmaster en Newegg kregen hiermee te maken.

https://www.security.nl/posting/592231/Webwinkel+slijterijketen+BevMo+getroffen+door+creditcardskimmer?channel=rss

doorSecuratis

Linux-servers via onbeveiligde IPMI-interface besmet met ransomware

Door Anoniem: Maar wie doet dat dan ook? Je hangt die IPMI/BMC/ILO/whatever beheer interfaces toch in je management VLAN waar ze alleen voor beheerders bereikbaar zijn?

Dat is het idee, maar dan heb je dus twee lijntjes per server nodig, plus iets van een bastionhost. Maar voor colo is dat vaak alweer een brug te ver. Of voor budgetservertjes met maar één netwerkpoort*.

Op die manier wordt “alles wordt ethernet” een vloek in plaats van een zegen. Het was imo veel beter geweest om management niet over kvm (en dus later kvm-over-ethernet en daarna datzelfde ingebouwd in de server zelf) te doen, maar over (een snellere variant van) serieel. Eventueel met extra features erbijin. Dan heb je een apart “iets” dat overduidelijk een aparte infrastructuur nodig heeft (eigen doosjes met eigen plugjes, en een netwerkplug om tegelijk een heel rack te kunnen bedienen, maar dus niet bij de servers zelf erbijingefrommeld), een boel minder complexiteit in de servers, en dus twee keer minder risico dat “perongeluk” management- en productiedata doorelkaar gaan lopen. Wat hier dus uiteindelijk het probleem is, in de hand gewerkt door de ipmi-opzet van kvm-over-ethernet.

Het is dus niet alleen maar “incompetent beheer”, het is ook “de opzet van ipmi nodigt hiertoe uit”.

Dit is hetzelfde soort naar de eindgebruiker (de beheerder in dit geval) wijzen als, bijvoorbeeld, “niet op de emails klikken!” Ja maar zeg nou zelf, je maakt een emailclient die het makkelijk maakt op emails te klikken, je kan niet anders anders zie je de inhoud niet, maar het dan weer niet makkelijk maakt om uit te maken welke gevaarlijk zijn en welke niet. En sowieso, hoezo zou op emails klikken gevaarlijk mogen kunnen zijn? Dat is een een-tweetje in pure faalderij van OS en applicatiemaker.

Nu mocht je vroeger van beheerders wel een beetje beter verwachten, maar kennelijk ondertussen toch niet meer. Serieel** te moeilijk, dus maar een ipmi-ip-kvm zodat er van afstand op de server geklikt kan worden. Tsja, dan krijg je dit.

* Waarbij de ipmi, net als de ime danwel psp in de southbridge, eerste toegang heeft op je netwerkverkeer. Daar kun je dus ook nog eens vrolijk mitm gaan spelen. “Security” is niet heel sterk in die contreien.
** “Real servers are headless.” — beheerderswijsheid van vroegâh.

https://www.security.nl/posting/592224/Linux-servers+via+onbeveiligde+IPMI-interface+besmet+met+ransomware?channel=rss

doorSecuratis

Firefox Focus geeft gebruikers meer controle over cookies en tracking

Er is een nieuwe versie van Firefox Focus voor Android verschenen die gebruikers meer controle over tracking en cookies geeft. Firefox Focus is een door Mozilla ontwikkelde mobiele browser die op privacy en snelheid is gericht. Standaard worden advertenties, trackers en trackingcookies geblokkeerd en is het mogelijk om met een druk op de knop alle gegevens van de browsesessie te wissen.

De nieuwste versie biedt gebruikers de mogelijkheid om de trackingbescherming voor vertrouwde websites uit te schakelen. Dit kan worden gedaan via een whitelist. Ook kunnen gebruikers er nu voor kiezen om alleen third-party trackingcookies te blokkeren en wordt safe browsing ondersteund. Gebruikers krijgen een waarschuwing als ze een phishingsite of andere bekende gevaarlijke website bezoeken.

Als laatste is het eenvoudiger gemaakt om url’s aan de autocompletefunctie toe te voegen, zodat gebruikers bij een volgende keer niet de hele url hoeven in te tikken. Firefox Focus is beschikbaar voor zowel Android als iOS. De nieuwe features zijn op dit moment alleen in de Android-versie aanwezig, die te downloaden is via de website van Mozilla, GitHub en Google Play Store.

https://www.security.nl/posting/592185/Firefox+Focus+geeft+gebruikers+meer+controle+over+cookies+en+tracking?channel=rss