De Zoom-app voor videoconferenties voor Mac heeft ernstige tekortkomingen die ondanks onthullingen niet worden aangepakt. Bij het bezoeken van een kwaadwillende website kunnen slechte actoren uw camera zonder toestemming activeren. Als u Zoom hebt verwijderd, kan de schadelijke site opnieuw worden geïnstalleerd zonder uw tussenkomst.
Beveiligingsonderzoeker Jonathan Leitschuh merkte dat Zoom de mogelijkheid heeft om automatisch deel te nemen en een videosessie te starten door een link te bezoeken. Hij vroeg zich af hoe het bedrijf de prestatie op een veilige manier volbracht en deed onderzoek. Hij ontdekte al snel dat de methoden van Zoom helemaal niet veilig waren.
Wanneer u Zoom op een Mac installeert, wordt er een webserver op uw computer gemaakt. De webserver is problematisch op meerdere niveaus. Met slechts een paar opties stelde Leitschuh een proof of concept-website samen. Als u Zoom hebt geïnstalleerd en die website bezoekt, wordt u automatisch bij een gesprek gevoegd en wordt uw webcam geactiveerd zonder enige tussenkomst van uw kant, zelfs als u Zoom hebt gesloten voordat u op de link hebt geklikt.
Erger nog, als u Zoom verwijdert, wordt de webserver niet verwijderd. De webserver kan Zoom ook zelfstandig opnieuw installeren. Dus als u een kwaadwillende link bezoekt, kan deze Zoom opnieuw installeren, deelnemen aan een gesprek en uw webcam starten, allemaal zonder enige tussenkomst van u.
Je kunt dit testen aan de hand van Leitschuh’s proof of concept, maar houd er rekening mee dat als je Zoom hebt geïnstalleerd, je camera zal starten en dat je zult deelnemen aan een gesprek met andere mensen die de site testen. Leitschuh bracht Zoom op de hoogte van zijn bevindingen, samen met een respijtperiode van 90 dagen. Helaas heeft het bedrijf niet veel gedaan om het probleem op te lossen.
Aanvankelijk veegde het bedrijf het hele ding weg als onderdeel van de functies die het ondersteunt. Zoom heeft uiteindelijk een milde oplossing geïmplementeerd waardoor de camera niet kan worden ingeschakeld, maar kwaadwillende actoren kunnen gebruikers nog steeds dwingen deel te nemen aan een gesprek en Zoom opnieuw te installeren. [Medium]
In ander nieuws:
- Microsoft sluipt advertenties naar Android: Als u een Microsoft Android-app heeft geïnstalleerd, ziet u mogelijk advertenties voor andere Microsoft-apps. Maar niet in de app zelf. Microsoft voegt suggesties in de deel- en open menu’s van Android in. Als u een foto met een vriend deelt, ziet u mogelijk OneDrive in de lijst, zelfs als u deze niet hebt geïnstalleerd. Als u op OneDrive tikt, gaat u naar de Play Store. Subtiel maar vies. [Android Police]
- Apple heeft een nieuwe MacBook-line-up aangekondigd: Apple schudt de boel in de MacBook-wereld: verdwenen zijn het MacBook-model en de niet-Touchbar MacBook Pro-modellen. Maar als ze vertrekken, staat een goedkopere MacBook Air met een verbeterd scherm centraal. We denken dat dit de meest verstandige line-up in jaren is. We vinden ook dat je sowieso moet wachten met het kopen van een MacBook, vanwege de aanhoudende toetsenbordproblemen. [ReviewGeek]
- Microsoft heeft een waarschuwing gegeven over moeilijk te detecteren malware: Microsoft ontdekte een malwarecampagne, Astaroth genaamd, met behulp van ongelooflijk geavanceerde technieken om ontdekking te omzeilen. Astaroth vertrouwt op systeemtools, zoals de Windows Management Instrumentation Command-line (WMIC) tool, om al zijn werk te doen om zich voor te doen als systeemactiviteit (een Living in the Land-techniek). En het slaat nooit bestanden op, maar voert het volledig uit in het geheugen (een bestandsloze methode). Astaroth wordt afgeleverd via spam-e-mail met kwaadaardige links, dus wees voorzichtig met wat u klikt. [ZDNet]
- Meer dan 1000 Android-apps negeren uw toestemmingskeuzes, maar volgen u toch: Beveiligingsonderzoekers ontdekten dat veel Android-apps u zouden volgen, zelfs als u machtigingsopties had gekozen om dit te voorkomen. De meesten gebruiken alternatieve opties; Shutterfly haalt bijvoorbeeld GPS-informatie uit de metagegevens van uw foto’s. Sommigen delen zelfs gegevens van de ene app naar de andere. Android Q zou het probleem moeten oplossen, maar Android staat niet bekend om tijdige updates. [9to5Google]
- Instagram wil pesten stoppen: Instagram test nieuwe functies die zijn ontworpen om pesten op zijn platform te beperken. De eerste is een AI-proces dat detecteert wanneer je iets minachtends schrijft en vraagt of je de opmerking echt wilt posten. Met de tweede kunnen gebruikers commentatoren in de schaduw stellen. Een schaduwban verbergt opmerkingen van iedereen behalve de poster zonder hen hiervan op de hoogte te stellen. [Instagram]
-
Spotify Lite is kleiner, met minder functies: Spotify’s nieuwe Lite-app voor Android is maar 10 MB groot, wat geweldig is voor apparaten met beperkte opslag en landen met lagere internetsnelheden. Het kleinere formaat betekent natuurlijk minder functies. Maar je krijgt nog steeds het belangrijkste deel, muziek, en dat is echt het enige dat telt. Hoewel het nu beschikbaar is in 36 markten over de hele wereld, is de VS daar niet een van. [Engadget]
- Google zegt dat je je Stadia-games mag houden: Google Stadia is ongelooflijk intrigerend. Maar één vraag (ok veel vragen) doemde zwaar op: wat gebeurt er als een game-uitgever stopt met het ondersteunen van Stadia? Verlies je het spel ondanks het geld dat je hebt uitgegeven? Google heeft zijn FAQ bijgewerkt, en het belooft dat je je games in dat geval “behoudens onvoorziene omstandigheden” houdt (omdat elk bedrijf bewegingsruimte wil). [The Verge]
- De rare tweets van Microsoft waren slechts een Stranger Things-advertentie: De tweets van Microsoft waren de laatste tijd “vreemd”, Windows 1.0 aanprijzen en andere erfenis. De verwijzingen naar 1985 maakten het een waarschijnlijke Stranger Things-tie-in (een show die zich afspeelt in 1985), en dat wordt nu bevestigd met een themapakket en het downloaden van een Windows 1.11-app. Als je van lelijke dingen houdt en echt van Paint houdt, download ze dan nu. [Ars Technica]
- YouTube keert terug naar FireTV en Prime Video krijgt Chromecast-ondersteuning: Google verwijderde YouTube van FireTV omdat de twee bedrijven vochten om vertegenwoordiging in elkaars winkels. De bedrijven beloofden vrede, en het lijkt erop dat dat eindelijk gaat gebeuren. Je vindt YouTube nu op de meeste FireTV-apparaten (behalve de Echo Show). Vanaf vandaag krijgt Prime Video ook ondersteuning voor Chromecast. Wat een tijd om te leven. [GeekWire]
VERWANT: De drie dingen die Google Stadia nodig heeft om de game-industrie te veroveren
Touchscreens, met hun virtuele knoppen die opnieuw worden geconfigureerd op basis van uw behoeften, zijn een fantastische technologie die onze manier van leven heeft veranderd. Tenzij u blind bent. Touchscreens zijn een stompe technologie voor iedereen die geen zicht heeft – de knoppen missen een tastgevoel, wat nodig is om ze te vinden en hun gebruik te bepalen.
Onderzoekers willen dat en andere problemen oplossen. Ze werken aan een elektronische huid die kan communiceren met touchscreens om voelbare sensaties te bieden. Zie het als de trillingen van je mobiele telefoon, maar dan op een kleinere schaal die je een idee geeft van de richting waarin je je vinger moet bewegen, of hoe hard je moet duwen.
Het idee is om de technologie dun genoeg te houden zodat je er met je vinger doorheen kunt voelen, maar toch circuits in te sluiten die kunnen communiceren met andere technologie en jou. Wetenschappers hopen dat een elektronische huid voor een dag het gevoel van sensatie en aanraking ook aan een handprothese kan toevoegen. Er is nog een lange weg te gaan voordat dit gebeurt, maar nu lijkt het echt mogelijk en niet alleen iets op het gebied van sciencefiction. Dat is echte vooruitgang. [Phys.org]