Captain Kirk

Er is een nieuwe versie van Google Chrome verschenen waarin 37 beveiligingslekken zijn verholpen. Ook is dit de eerste versie die Google zal gebruiken voor een publieke DNS over HTTPS (DoH)-test. De ernst van de verholpen kwetsbaarheden is als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Onderzoeker Man Yue Mo van softwarebedrijf Semmle wist de meest waardevolle beveiligingslekken te rapporteren. Hij ontving voor zijn twee bugmeldingen in totaal 35.000 dollar. Voor het melden van een kwetsbaarheid in het onderdeel dat Chrome gebruikt voor het afspelen van media ontving de onderzoeker een beloning van 20.000 dollar. Eén van de hoogste bedragen die Google dit jaar uitkeerde. Een beveiligingslek in de Blink-engine die Chrome gebruikt voor het weergeven van webcontent werd met 15.000 dollar beloond. DNS over HTTPS Daarnaast is Chrome 78 zoals gezegd de eerste versie waarin Google een publieke DoH-test zal uitvoeren. Wanneer de test precies begint is nog onbekend. Bij het opvragen van de locatie van een domeinnaam wordt een verzoek naar een dns-server gestuurd. In veel gevallen maken internetgebruikers gebruik van de dns-server van hun eigen internetprovider. Een probleem met dns-verzoeken is dat ze het ip-adres, of een groot deel hiervan, van de gebruiker bevatten, alsmede de opgevraagde domeinnaam. De verzoeken zijn daarnaast onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. DoH moet dit probleem verhelpen door een versleutelde verbinding voor de dns-verzoeken te gebruiken. Met Chrome 78 gaat Google kijken of de ingestelde dns-provider van de gebruiker DoH ondersteunt. Op dit moment zijn dit volgens Google zes partijen, namelijk Cleanbrowsing, Cloudflare, DNS.SB, Google, OpenDNS en Quad9. Wanneer Chrome deze providers detecteert wordt de DoH-dienst van dezelfde provider ingeschakeld. Wanneer de dns-provider van de gebruiker niet op de lijst voorkomt blijft Chrome op dezelfde manier werken. Hierdoor zouden gebruikers niets van het experiment moeten merken, aldus Google. Gebruikers die niet aan het experiment willen meedoen kunnen zich hiervoor afmelden door via de adresbalk de optie chrome://flags/#dns-over-https uit te schakelen. Updaten naar Chrome 78.0.3904.70 zal op de meeste systemen automatisch gebeuren. bron: security.nl

Het op privacy gerichte besturingssysteem Tails heeft één van de grootste updates in jaren ontvangen, waarmee belangrijke beveiligings- en prestatieverbeteringen zijn doorgevoerd, aldus de ontwikkelaars. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Gisteren verscheen Tails 4.0, de eerste versie die op Debian 10 (Buster) is gebaseerd. Ook wordt er gebruikgemaakt van Linux 5.3.2, wat de ondersteuning van nieuwe hardware zou moeten verbeteren. Volgens de ontwikkelaars start deze de nieuwste Tails-versie 20 procent sneller op en vereist 250MB minder werkgeheugen. Verder is er ondersteuning voor Thunderbolt-apparaten en usb-tethering van iPhones toegevoegd. Tails wordt standaard met allerlei programma's geleverd die ook een update hebben ontvangen. Het gaat dan bijvoorbeeld om kantoorsoftware LibreOffice, audiosoftware Audacity en het tekenprogramma GIMP. Ook het gebruiksgemak van de Tails Greeter, het welkomstscherm dat gebruikers te zien krijgen, is verbeterd, alsmede het schermkeyboard. Ten opzichte van Tails 3.16 zijn daarnaast tal van kwetsbaarheden verholpen. Gebruikers van het privacybesturingssysteem krijgen dan ook het advies om zo snel als mogelijk naar de nieuwe versie te updaten. Aangezien automatische upgrades voor Tails 4.0 niet beschikbaar zijn moeten gebruikers dan ook een handmatige upgrade uitvoeren. bron: security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht die trackers van Facebook, LinkedIn en Twitter blokkeert en extra opties voor de wachtwoordmanager Lockwise introduceert. De browser beschikte al over verschillende opties om webtrackers te blokkeren en is nu van 'social tracking protection' voorzien. Via deze optie kan Firefox cross-site trackingcookies van websites zoals Facebook, Twitter en LinkedIn blokkeren. "Sociale netwerken plaatsen trackers op andere websites die volgen wat je op internet doet, ziet en bekijkt. Hierdoor kunnen socialmediabedrijven data over je browsegedrag verzamelen en hun gerichte advertenties verbeteren. Zelfs als je geen sociaal netwerk gebruikt, kan die site nog steeds data over je browsegedrag verzamelen", aldus Mozilla. Met social tracking protection blokkeert Firefox de meestvoorkomende trackers van Facebook, Twitter en LinkedIn die op andere websites verschijnen. Gebruikers kunnen de instelling aanpassen, afhankelijk van hoe streng ze de trackers willen blokkeren. Dit kan echter gevolgen voor het functioneren van websites hebben. Daarnaast waarschuwt Mozilla dat socialmediabedrijven gebruikers nog steeds op hun eigen netwerken kunnen volgen of wanneer gebruikers met hun socialmedia-account op andere websites inloggen. Firefox Lockwise Tevens biedt Firefox 70 extra opties voor Lockwise, de wachtwoordmanager van Mozilla. Via Firefox Lockwise kunnen gebruikers hun wachtwoorden opslaan en die vanaf andere apparaten benaderen. Gebruikers moeten in dit geval zowel de mobiele app als de desktopextensie hebben geïnstalleerd. Daarnaast is het gebruik van een Firefox Account verplicht. De wachtwoordmanager kan nu "complexe wachtwoorden" voor nieuwe accounts genereren en waarschuwt wanneer opgeslagen inloggegevens in datalekken voorkomen. Tevens kan de desktopversie van Lockwise nu inloggegevens op alle gesynchroniseerde apparaten aanmaken, verwijderen of aanpassen. Kwetsbaarheden Verder zijn er in Firefox 70 dertien kwetsbaarheden verholpen. Eén van de beveiligingslekken is als ernstig bestempeld, wat inhoudt dat een aanvaller in het ergste geval volledige controle over het onderliggende systeem had kunnen krijgen waarbij alleen het bezoeken van een kwaadaardige of gecompromitteerde website voldoende was geweest. Een andere belangrijke aanpassing is dat de browser EV-certificaten niet meer in de adresbalk weergeeft, zoals eerder al werd aangekondigd. Updaten naar Firefox 70 kan via de automatische updatefunctie of Mozilla.org. bron: security.nl

Afspraken tussen grote softwarebedrijven en overheidsinstanties om de privacy van gebruikers te beschermen, zoals tussen de Nederlandse Rijksoverheid en Microsoft, zouden ook voor burgers moeten gelden. Dat vindt de European Data Protection Supervisor (EDPS). Strategisch Leveranciersmanagement (SLM) Microsoft Rijk sloot afgelopen mei nieuwe privacyvoorwaarden met Microsoft voor de 300.000 digitale werkplekken van de Rijksoverheid. Hierop draaien de grootzakelijke versies van Windows 10 en Office. Uit eerder onderzoek van de Haagse Privacy Company bleek dat de software van Microsoft diagnostische gegevens van en over gebruikers verzamelde en bewaarde in een database in de Verenigde Staten, op een manier die hoge risico's meebracht voor de privacy van de gebruiker. Naar aanleiding van het onderzoek ging de overheid met Microsoft in gesprek over een verbeterplan. "Belangrijke afspraken in dit verbeterplan zijn een instellingsmogelijkheid tot het beperken van diagnostische datastromen naar Microsoft en volledige inzage in de resterende datastromen naar Microsoft", liet minister Grapperhaus van Justitie en Veiligheid destijds weten. Microsoft besloot de maatregelen afgelopen april door te voeren, waarna er een nieuw onderzoek plaatsvond. Afgelopen juli meldde de Privacy Company dat door een combinatie van technische, organisatorische en contractuele maatregelen verschillende eerder geconstateerde privacyrisico’s voor Office 365 ProPlus door Microsoft zijn verholpen. De EDPS stelt nu dat deze overeenkomst laat zien dat er ruimte voor verbetering is in het opstellen van contracten tussen overheidsinstanties en softwarebedrijven. Deze oplossingen zouden echter niet alleen voor overheid en bedrijfsleven moeten gelden, maar ook voor burgers, aldus de toezichthouder. De EDPS startte in april een onderzoek naar de contracten tussen Microsoft en de EU en of die aan de privacywetgeving voldoen. Het onderzoek is nog niet afgerond, maar de voorlopige resultaten zijn zorgwekkend, zo laat de privacytoezichthouder weten. Zo zijn er ernstige zorgen of de contractuele overeenkomsten wel aan de databeschermingswetgeving voldoen en de rol van Microsoft als verwerker voor EU-instellingen die de producten van het Amerikaanse softwarebedrijf gebruiken. Eind augustus lanceerde de EDPS in Den Haag het "The Hague Forum", waar partijen bespreken hoe ze de controle over de it-diensten en -producten van grote it-bedrijven kunnen terugkrijgen. De toezichthouder roept alle partijen die zich zorgen maken dan ook op om zich bij het Forum aan te sluiten en mee te helpen met het opstellen van eerlijke contractuele voorwaarden voor de publieke sector. "De overeenkomst tussen het Nederlandse ministerie van Justitie en Veiligheid en Microsoft over gepaste contractuele en technische waarbogen en maatregelen om de risico's voor individuen te beperken is een positieve stap voorwaarts", zegt adjunct-EDPS Wojciech Wiewiorowski. Hij merkt op dat het onderzoek en de oprichting van het The Hague Forum de databescherming binnen alle EU-instellingen zal verbeteren. bron: security.nl

In 2017 is een aanvaller erin geslaagd om een server van proxy- en vpn-provider TorGuard te compromitteren, zo heeft het bedrijf bevestigd. De bekendmaking volgt na een bericht van vpn-provider NordVPN dat ook met een gecompromitteerde server te maken kreeg. Volgens TorGuard werd de server in september 2017 gecompromitteerd. Een gebruiker op het 8chan-forum claimde toen toegang te hebben tot servers van TorGuard, NordVPN en VikingVPN. "TorGuard was de enige die PKI-management toepaste, wat inhoudt dat onze primaire certificaatautoriteitsleutel niet op de getroffen vpn-server aanwezig was", aldus de vpn-provider. TorGuard stelt dat het pas in mei 2019 achter de aanval kwam. De gecompromitteerde server was echter al begin 2018 uit het eigen netwerk verwijderd. Het contract met de betreffende hosting reseller is sindsdien vanwege "herhaaldelijke verdachte activiteiten" opgezegd. Wie deze partij is wil TorGuard niet zeggen. Vanwege een lopende rechtszaak kan de vpn-provider geen verdere details over de specifieke reseller geven of hoe de aanvaller ongeautoriseerde toegang verkreeg. Wel stelt TorGuard dat de server niet op externe wijze is gecompromitteerd en er geen risico was voor andere TorGuard-servers en -gebruikers. Op de gecompromitteerde server bevond zich een tls-certificaat voor *.torguardvpnaccess.com. Dit certificaat was sinds 2017 niet meer in gebruik en ook niet geldig op het TorGuard-proxynetwerk. Na de ontdekking in mei had TorGuard al besloten om alle certificaten opnieuw uit te geven. bron: security.nl

Microsoft heeft samen met chip- en computerfabrikanten de 'secured-core pc' ontworpen die beter tegen firmware-aanvallen bestand zou moeten zijn. Firmware wordt gebruikt om de hardware en andere software op de computer te initialiseren en heeft hogere rechten dan de hypervisor en kernel van het besturingssysteem. Het is daardoor een aantrekkelijk doelwit voor aanvallers, aldus Microsoft. In het verleden zijn er ook aanvallen waargenomen waarbij aanvallers misbruik van firmwarekwetsbaarheden maakten. Met Windows 8 lanceerde Microsoft 'Secure Boot' om tegen aangepaste bootloaders en rootkits te beschermen. Aangezien firmware al wordt vertrouwd om de bootloader te vertrouwen, beschermt het niet tegen aanvallen die misbruik van kwetsbaarheden in de firmware maken. De secured-core pc moet dergelijke aanvallen voorkomen. Deze computers moeten onder andere Windows Defender System Guard Secure Launch implementeren. Hierbij wordt er gebruik gemaakt van een technologie genaamd Dynamic Root of Trust for Measurement (DRTM). DRTM laat het systeem booten met niet vertrouwde code, maar kort na de start wordt het systeem in een "vertrouwde staat" geladen. Hiervoor draagt DRTM de besturing via een beveiligde en gemeten overdracht rechtstreeks over van de processor aan de Windows hypervisor loader. Hierdoor kan niet vertrouwde UEFI-code het systeem booten, maar vindt er daarna een transitie naar een vertrouwde en meetbare staat plaats. DRTM beperkt zo het vertrouwen dat aan firmware wordt toegekend en zou zo bescherming tegen firmware-aanvallen moeten bieden. Zodra de Windows hypervisor veilig opgestart is in een modus die door hardware is gemeten, wordt de op virtualisatie gebaseerde beveiliging (VBS)-omgeving in het geheugen aangemaakt om belangrijke sleutels en processen te isoleren van het reguliere Windows-besturingssysteem dat nog moet worden gestart. "Het kunnen meten dat de computer veilig is geboot is een ander belangrijk onderdeel van deze aanvullende beveiligingslaag tegen firmware-aanvallen waarmee beheerders weten dat hun endpoints veilig zijn", stelt Microsoft. Naast Secure Launch maakt Windows 10 ook gebruik van de System Management Mode (SMM) om de functionaliteit van potentieel gevaarlijke firmware te monitoren en beperken wanneer het besturingssysteem actief is. Andere aanwezige beveiligingsmaatregelen van secured-core pc's zijn hardware-gebaseerde beveiligingsonderdelen zoals Trusted Platform Module 2.0 (TPM) en Windows hypervisor code integrity (HVCI). Volgens David Weston van Microsoft zijn secured-core pc's speciaal ontworpen voor specifieke sectoren, zoals financiële instellingen, overheid, gezondheidszorg en personen die met intellectueel eigendom of gevoelige persoonsgegevens werken. Verschillende fabrikanten, waaronder Dell, Dynabook, Lenovo en Panasonic, bieden secured-core pc's aan. bron: security.nl

NordVPN beëindigt contract met serverprovider na inbraak Vpn-dienst NordVPN heeft het contract met een serverprovider beëindigd en alle gehuurde servers "geshred" nadat een aanvaller toegang tot één van de servers bij de provider wist te krijgen. Gisteren werd bekend dat vorig jaar één van de servers in een Fins datacentrum werd gecompromitteerd. De aanvaller maakte gebruik van een onveilig remote beheersysteem dat door de serverprovider was achtergelaten, zonder dat NordVPN naar eigen zeggen hiervan wist. De server in kwestie werd op 31 januari 2018 aan de serverlijst van de vpn-provider toegevoegd. De serverprovider, die niet bij naam wordt genoemd, ontdekte het probleem en verwijderde het remote beheeraccount op 20 maart 2018, zonder NordVPN te informeren. Een aantal maanden geleden ontdekte NordVPN dat het remote beheeraccount had bestaan, waarop er een onderzoek werd ingesteld. De aanvaller die toegang tot de server wist te krijgen maakte daar een verlopen tls-sleutel buit, zo laat NordVPN in een blogposting over het incident weten. Met deze tls-sleutel was het mogelijk geweest om een man-in-the-middle-aanval op een enkele verbinding uit te voeren die verbinding met nordvpn.com maakte. De vpn-provider benadrukt dat er geen inloggegevens van gebruikers zijn gestolen en er ook geen andere servers zijn gecompromitteerd. De gecompromitteerde server bestaat niet meer en het contract met de serverprovider is beëindigd. "We hebben direct het contract met de serverprovider beëindigd en alle servers die we van ze huurden geshred", aldus de verklaring. Volgens NordVPN heeft het gefaald door met een onbetrouwbare serverprovider in zee te gaan en had het meer moeten doen om de veiligheid van klanten te verzekeren. Het bedrijf zegt "alle noodzakelijke stappen" te zullen nemen om de veiligheid te verbeteren. Zo heeft er een applicatie-audit plaatsgevonden en vindt er nu een tweede "no-logs" audit plaats, gevolgd door een externe audit volgend jaar. Ook zal NordVPN een bug bounty programma lanceren dat onderzoekers beloont voor het melden van kwetsbaarheden. bron: security.nl

Een aanvaller heeft in maart 2018 toegang tot een Finse server van vpn-provider NordVPN gekregen en daar een privésleutel bemachtigd waarmee man-in-the-middle-aanvallen konden worden uitgevoerd. Dat laat het bedrijf vandaag tegenover TechCrunch weten. Gisteren verschenen op Twitter de eerste berichten dat NordVPN was gecompromitteerd en een aanvaller een inmiddels verlopen privésleutel in handen had gekregen. Volgens de vpn-provider werd één van de datacenters die het in Finland gebruikt zonder toestemming benaderd. De aanvaller wist via een "onveilig remote beheersysteem" dat door de datacentrumprovider was achtergelaten toegang tot de server te krijgen. NordVPN wist naar eigen zeggen niet dat een dergelijk systeem aanwezig was. De naam van de datacentrumprovider is niet bekendgemaakt. De server in kwestie bevatte geen activiteitenlogs van gebruikers, aldus een woordvoerder. Wel was het mogelijk geweest om via de server een gepersonaliseerde man-in-the-middle-aanval uit te voeren, waarbij "een enkele verbinding" van een gebruiker die verbinding met NordVPN probeerde te maken had kunnen worden onderschept. Met de privésleutel was het niet mogelijk om vpn-verkeer van een andere server te ontsleutelen. De inbraak werd een "aantal maanden" geleden door de vpn-provider ontdekt. Pas vandaag is die bekendgemaakt. De vpn-provider wilde naar eigen zeggen eerst zeker weten dat elk onderdeel van de eigen infrastructuur veilig is. bron: security.nl

Onderzoekers van Security Research Labs hebben een manier gevonden hoe ze gebruikers van Alexa en Google Home via malafide apps kunnen afluisteren en zelfs gevoelige gegevens kunnen ontfutselen. Gebruikers kunnen de mogelijkheden van hun smart speakers via allerlei apps uitbreiden. Amazon en Google controleren de apps van externe ontwikkelaars voordat die aan gebruikers worden aangeboden. Het is echter mogelijk om de app na de controle aan te passen. Om de apps te bedienen, zoals het starten en stoppen, worden er bepaalde woorden gebruikt. De onderzoekers maakten een app met twee functies. De eerste functie wordt geactiveerd met het "stop" woord, de tweede functie luistert naar een bepaald veelgebruikt woord. Na de controle controle door Amazon wordt de eerste functie aangepast zodat die goodbye zegt, waarmee een app aangeeft de sessie te stoppen. In werkelijkheid is dit een truc om de gebruiker te misleiden en blijft de luistersessie open. Om de afluistertijd te vergroten voegden de onderzoekers een speciale karakterreeks toe die meerdere malen wordt herhaald. Deze karakterreeks wordt echter niet door de speaker uitgesproken. Zodra de gebruiker vervolgens een zin met het veelgebruikte woord uitspreekt zal de tweede functie actief worden en de net uitgesproken zin opnemen en naar de aanvaller sturen. Tevens ontwikkelden de onderzoekers een aanval waarbij de app doet voorkomen alsof die niet werkt, maar in werkelijkheid nog blijft luisteren. Vervolgens volgt er een bepaalde stilte, waarna de app stelt dat er een belangrijke beveiligingsupdate beschikbaar is die geïnstalleerd kan worden door het woord "start" en daarna het wachtwoord te zeggen. Een gebruiker zou kunnen denken dat de melding van de smart speaker afkomstig is en de instructies opvolgen. In werkelijkheid gaat het hier om een phishingaanval waarbij het wachtwoord van de gebruiker naar de aanvaller wordt gestuurd. Zowel Amazon als Google zijn door de onderzoekers geïnformeerd. Die raden aan om op niet uit te spreken karakterreeksen te controleren, alsmede op verdachte teksten van een app waarin het woord wachtwoord voorkomt. Gebruikers krijgen het advies om bij het installeren van spraak-apps net zo voorzichtig te zijn als bij het installeren van smartphone-apps. De onderzoekers maakten verschillende video's waarin ze de aanvallen demonstreren. bron: security.nl

Een onbekende aanvaller is erin geslaagd toegang te krijgen tot het netwerk van antivirusbedrijf Avast, mogelijk in een poging om het programma CCleaner van malware te voorzien, zo heeft de virusbestrijder net bekendgemaakt. Op 23 september ontdekte Avast verdachte activiteit op het eigen netwerk. Er volgde een onderzoek waarbij de Tsjechische inlichtingendienst en politie betrokken waren. Avast is een Tsjechisch bedrijf. Het onderzoek liet zien dat een actie van een gebruiker die in eerste instantie als false positive was afgedaan, door een aanvaller was uitgevoerd. De aanvaller had met de gegevens van deze gebruiker via een tijdelijk vpn-profiel ingelogd dat door Avast zelf was aangemaakt. Dit profiel vereiste geen tweefactorauthenticatie en stond onbedoeld nog ingeschakeld. De gecompromitteerde gebruiker had geen domeinbeheerdersrechten. De aanvaller wist echter zijn rechten te verhogen, zodat wel domeinbeheerder werd. Verder onderzoek wees uit dat de aanvaller sinds 14 mei van dit jaar had geprobeerd om via het Avast-vpn toegang tot het netwerk van het antivirusbedrijf te krijgen. Ook werd duidelijk dat inloggegevens van meerdere gebruikers waren gecompromitteerd. CCleaner Avast vermoedt het programma CCleaner het doelwit van de aanvaller was. CCleaner is software om cookies, tijdelijke bestanden, surfgeschiedenis, logbestanden, applicatiedata en andere bestanden mee te verwijderen. De software werd in 2017 door Avast van het softwarebedrijf Pirisoft overgenomen. Kort voor de overname hadden aanvallers Pirisoft gecompromitteerd en een backdoor aan CCleaner toegevoegd. De besmette versie werd door miljoenen mensen gedownload. Via de backdoor werd bij een select aantal bedrijven aanvullende malware geïnstalleerd. Uiteindelijk ontvingen 40 computers deze aanvullende malware. Het ging om systemen van grote techbedrijven zoals Intel, Samsung, Sony, Asus, NEC en de Zuid-Koreaanse telecomaanbieder Chunghwa Telecom. Na ontdekking van de nieuwe inbraak besloot Avast het uitbrengen van CCleaner-updates te staken en werden eerder uitgebrachte versies op malware gecontroleerd. De virusbestrijder stelt dat het geen kwaadaardige aanpassingen heeft ontdekt. Uit voorzorg werd besloten om een schone update voor CCleaner opnieuw te signeren en via een automatische update uit te brengen. Vervolgens werd het vorige certificaat ingetrokken. Gebruikers zijn dan ook beschermd en niet getroffen, aldus Avast. De virusbestrijder stelt dat het om een zeer geraffineerde aanval gaat en dat de aanvaller geen sporen wilde achterlaten. Avast is nu bezig om de zichtbaarheid in de eigen netwerken en systemen te vergroten om detectie- en responstijden te verbeteren. Tevens zal het de logbestanden verder onderzoeken om de acties en werkwijze van de aanvaller te achterhalen. De virusbestrijder heeft meer details over de aanval, waaronder ip-adressen, naar eigen zeggen met de securitygemeenschap gedeeld. Update De Tsjechische inlichtingendienst BIS stelt in een verklaring dat de geanalyseerde data suggereert dat de aanval uit China afkomstig was en CCleaner als doelwit had. bron: security.nl

Dit is inderdaad bijna altijd een breuk in de kabelk of brakke kabelschoentjes. Volg het advies van Porrelaar op en daarmee heb je denk ik het probleem getackeld.

Fijn dat je nog even wilt wachten. We doen ons best iedereen zo snel mogelijk te helpen. Maar we werken met vrijwilligers die ook vaak een gewone baan hebben en dus niet altijd tijd hebben om iedereen te kunnen helpen. We zijn je niet vergeten hoor;) Zo snel mogelijk zal iemand even antwoord geven. Alvast dank voor je geduld.

Na meer dan een jaar is er een nieuwe versie van de encryptiesoftware VeraCrypt verschenen die allerlei nieuwe beveiligingsfeatures bevat. VeraCrypt is een opensource-encryptieprogramma voor Linux, macOS en Windows gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. De vorige versie dateert al weer van 12 september 2018. Afgelopen zondag verscheen VeraCrypt versie 1.24. Deze versie introduceert RAM-encryptie voor sleutels en wachtwoorden. Dit moet voorkomen dat ze bijvoorbeeld via coldbootaanvallen uit het werkgeheugen worden gelezen. Dergelijke aanvallen zijn al sinds 2008 bekend. Destijds ontdekten onderzoekers dat encryptiesleutels in het geheugen van de computer worden opgeslagen en niet meteen hieruit verdwijnen als het systeem niet op een juiste wordt uitgeschakeld en weer wordt ingeschakeld. Door de geheugenchips met stikstof te besproeien blijft de informatie lang genoeg aanwezig om te kunnen achterhalen. VeraCrypt heeft hier nu bescherming voor toegevoegd. Een nadeel is wel dat hierdoor Windows Hibernation niet meer mogelijk is wanneer VeraCrypt systeemversleuteling ook wordt gebruikt. Daarnaast beschikt de software over verschillende opties om encryptiesleutels uit het geheugen te wissen. Zo worden de systeemencryptiesleutels bij het uitschakelen of herstarten van de computer uit het geheugen gewist. Ook dit moet bescherming tegen coldbootaanvallen bieden. Daarnaast biedt de software een optie om alle encryptiesleutels uit het geheugen te wissen als er een nieuw apparaat op het systeem wordt aangesloten en is het mogelijk voor applicaties om in noodgevallen de encryptiesleutels uit het geheugen te laten wissen. Verder zijn er problemen met de VeraCrypt UEFI-bootloader verholpen en is de wachtwoordlengte uitgebreid naar 128 bytes voor non-system volumes. bron: security.nl

Ontwikkelaars van de BitPaymer-ransomware hebben een zerodaylek in de Windowsversie van iTunes gebruikt om antivirussoftware te omzeilen, zo stelt securitybedrijf Morphisec. Misbruik van de kwetsbaarheid werd afgelopen augustus waargenomen. Apple kwam deze week met een beveiligingsupdate voor de Windowsversies van iTunes en iCloud. Het ging om een zogeheten "unquoted service path" kwetsbaarheid in de updater van Bonjour. Bonjour is software waarmee iTunes gedeelde muziek op andere computers in een lokaal netwerk kan vinden. Het wordt samen met iTunes geïnstalleerd. Via de kwetsbaarheid konden aanvallers die al toegang tot een systeem hadden Bonjour gebruiken om de BitPaymer-ransomware uit te voeren. Bonjour is digitaal gesigneerde en bekende software. Door de software voor de installatie van de ransomware te gebruiken konden aanvallers detectie door antivirussoftware omzeilen, aldus Morphisec. Een bijkomend probleem is dat Bonjour als los onderdeel wordt geïnstalleerd. Wanneer gebruikers iTunes verwijderen moeten ze Bonjour apart verwijderen, anders blijft het aanwezig op het systeem. Het securitybedrijf claimt dat het tijdens een eigen onderzoek tal van bedrijfsmachines ontdekte waar iTunes was verwijderd, maar Bonjour nog steeds aanwezig was. Zodoende blijft de updatetool als taak actief. De onderzoekers merken op dat de kwetsbaarheid het niet mogelijk maakt voor een aanvaller om zijn rechten te verhogen. Daarnaast is het ook niet mogelijk om via het lek toegang tot een systeem te krijgen. Een aanvaller zou al toegang tot het systeem nodig hebben om de kwetsbaarheid te kunnen misbruiken. BitPaymer wist eerder Amerikaanse steden en ziekenhuizen in Schotland te infecteren. bron: security.nl

De afgelopen weken zijn ruim 3.000 webwinkels besmet geraakt met kwaadaardige JavaScriptcode die persoonlijke informatie en creditcardgegevens van klanten steelt, zo meldt antivirusbedrijf Trend Micro. De aanval, die ook wel formjacking wordt genoemd, begon op 7 september. Aanvallers slaagden erin om het webwinkelplatform van de webshops te compromitteren. Alle getroffen webwinkels maken gebruik van het cloudplatform van Volusion, aanbieder van e-commercesoftware. De kwaadaardige code was geïnjecteerd in een JavaScript-library die Volusion aan de bij hun gehoste webwinkels aanbiedt. De geïnjecteerde code laadde weer andere JavaScriptcode die betaalgegevens die klanten bij de webshops invoerden terug naar de aanvallers stuurde. "De code was zorgvuldig in het originele script verwerkt als onderdeel van het programma dat werd uitgevoerd. De code was ook zo eenvoudig mogelijk geschreven, waardoor die lastig in een grote library is te identificeren. Verder hadden de aanvallers het domein van hun exfiltratieserver op een bijna zelfde manier geregistreerd als het legitieme Volusion-domein", zegt onderzoeker Joseph Chen. De kwaadaardige code is inmiddels door Volusion verwijderd, maar was op 3126 webwinkels actief. De meeste bezoekers van de gecompromitteerde webwinkels komen uit de Verenigde Staten, gevolgd door Australië en Canada. De groep achter de aanval zou eerder verantwoordelijk zijn geweest voor soortgelijke aanvallen op de websites van British Airways en online elektronicashop Newegg. De aanval via Volusion werd eerder ook al gerapporteerd door onderzoeker Marcel Afrahim. bron: security.nl

Microsoft waarschuwt gebruikers van oudere Windows 10-versies aangezien die geen beveiligingsupdates meer zullen ontvangen. Het gaat om systemen met de Enterprise- en Education-edities van Windows 10 versie 1703 en systemen met de Home- en Pro-edities van Windows 10 versie 1803. Twee keer per jaar brengt de softwaregigant een grote feature-update uit voor Windows 10. Updates die in september verschijnen worden 30 maanden met beveiligingsupdates ondersteund. Feature-updates die in maart verschijnen kunnen 18 maanden op beveiligingsupdates rekenen. Gebruikers en organisaties moeten na deze supportperiode updaten, anders zullen ze geen beveiligingsupdates meer ontvangen. In het geval van Windows 10 versie 1703 (Creators Update) voor de eerder genoemde Windows-edities verscheen de laatste update afgelopen dinsdag 8 oktober. Voor gebruikers van Windows 10 Home en Pro met versie 1803 (April 2018 Update) stopt de ondersteuning op 12 november. Organisaties die systemen met deze Windows-edities in hun omgeving hebben staan worden opgeroepen om naar Windows 10 versie 1903 te updaten. "Onbeveiligde systemen kunnen het risico voor het gehele netwerk vergroten. Als een machine niet meer wordt ondersteund ontvangt het geen updates meer van Microsoft en kan kwetsbaarder voor veiligheidsrisico's en virussen worden. Eén gecompromitteerde machine kan andere machines op het netwerk onthullen, gevoelige informatie prijsgeven of andere machines in het netwerk met malware infecteren", zegt Microsofts John Wilcox. bron: security.nl

Het tijdig installeren van beveiligingsupdates om zo grote uitbraken als WannaCry en NotPetya te voorkomen is een maatschappelijke verantwoordelijkheid van organisaties en bedrijven, zo stelt Microsoft. Beide malware-exemplaren konden zich respectievelijk in mei en juni 2017 verspreiden via een ernstig beveiligingslek waarvoor sinds 14 maart van dat jaar een patch beschikbaar was. Een maand na het uitkomen van de patch verscheen er een exploit online waarmee kwetsbare systemen konden worden aangevallen. De eerste aanvallen op kwetsbare systemen werden ongeveer een week na het verschijnen van de exploit waargenomen. Desondanks besloten tal van organisaties de beschikbare update niet te installeren. Drie weken later op 12 mei 2017 verspreidde de WannaCry-ransomware zich en werden tal van bedrijven platgelegd. Zelfs na de uitbraak van de ransomware gingen organisaties niet over tot het patchen van hun systemen. Eind juni vond de aanval met de NotPetya-malware plaats die van dezelfde kwetsbaarheid gebruik kon maken om zich binnen organisaties te verspreiden. Na de NotPety-aanval besloot Microsoft te onderzoeken waarom organisaties beveiligingsupdates voor ernstige kwetsbaarheden die al maanden beschikbaar zijn niet installeren. Veel van de organisaties hadden vragen over wat voor soort tests ze moesten uitvoeren voor het uitrollen van updates en hoe snel patches moesten worden geïnstalleerd. Volgens Microsoft liet het onderzoek zien dat bedrijven duidelijker advies en standaarden over patchmanagement nodig hebben. Samen met het National Institute of Standards and Technology (NIST), een Amerikaanse organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, werkte Microsoft aan het opstellen van richtlijnen en processen. De samenwerking leidde tot een conceptrapport over "critical cybersecurity hygiene" voor bedrijven (pdf). "Het uitrollen van patches is een essentieel onderdeel van het beschermen van je systemen. We ontdekten dat hoewel het niet zo eenvoudig is als securityafdelingen denken, het niet zo lastig is als it-organisaties denken", zegt Microsofts Mark Simos. Hij stelt dat het tijdig installeren van patches een maatschappelijke verantwoordelijkheid is doordat de samenleving zo afhankelijk is geworden van de systemen die bedrijven en andere organisaties aanbieden. "Deze situatie wordt versterkt doordat bijna alle organisaties tegenwoordig een digitale transformatie ondergaan, waardoor er een nog grotere maatschappelijke verantwoordelijkheid op technologie komt te liggen", aldus Simos. bron: security.nl

Om de stabiliteit en veiligheid van het Tor-netwerk te verbeteren heeft het Tor Project besloten om 750 servers uit het netwerk te verwijderen. Deze servers draaien oude versies van de Tor-serversoftware die end-of-life zijn en niet meer worden ondersteund. Dagelijks maken zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exit-node, die het verzoek naar het internet stuurt. Het is aan de eigenaren van deze servers om de Tor-software up-to-date te houden. Dat blijkt in de praktijk niet altijd te gebeuren. Op dit moment zijn er meer dan 6.000 servers in het Tor-netwerk die 85 verschillende versies van de Tor-software draaien. Sommige van deze versies stammen uit 2013 en worden al jaren niet meer ondersteund. "Helaas hebben servers die end-of-life zijn negatieve gevolgen voor het netwerk. Elke server die een verouderde versie draait brengt de stabiliteit en veiligheid van het netwerk in gevaar. Verouderde servers maken het lastiger voor ons om belangrijke fixes uit te rollen en ze kunnen het ook lastiger maken om sommige nieuwe features uit te rollen", zegt David Goulet van het Tor Project. In totaal gaat het om 750 servers die voor 12 procent van de totale bandbreedte van het Tor-netwerk verantwoordelijk zijn. Van de 750 servers gaat het om 62 exit-nodes die 1,68 procent van het totale exit-verkeer verzorgen. Goulet verwacht dat het opschonen dan ook geen grote impact op het Tor-netwerk zal hebben. Het Tor Project heeft inmiddels de directory authorities opdracht gegeven om de end-of-life Tor-servers te blokkeren. Directory authorities zijn speciale servers in het Tor-netwerk waarmee de Tor-software die gebruikers op hun computer hebben staan de Tor-servers kan vinden die zich in het Tor-netwerk bevinden. De volgende Tor-versie die volgende maand uitkomt zal de end-of-life servers standaard blokkeren. Beheerders van dergelijke servers wordt opgeroepen om een nieuwere Tor-versie te installeren. bron: security.nl

Tijdens de patchdinsdag van oktober heeft Microsoft zestig kwetsbaarheden in Windows, Office en andere software verholpen. Geen van de beveiligingslekken is volgens de softwaregigant voor het uitkomen van de updates aangevallen. Negen van de kwetsbaarheden zijn als ernstig bestempeld. Via dergelijke lekken kan een aanvaller volledige controle over een systeem krijgen met nauwelijks enige interactie van de gebruiker. Het gaat dan bijvoorbeeld om kwetsbaarheden in Edge en Internet Explorer die alleen al bij het bezoeken van een kwaadaardige of gecompromitteerde website kunnen worden misbruikt. Ook via een kwetsbaarheid in Remote Desktop Services (RDP) had een aanvaller systemen kunnen overnemen. In dit geval had een gebruiker verbinding met een kwaadaardige server moeten maken, bijvoorbeeld via social engineering of een man-in-the-middle-aanval, aldus Cisco. Cortana Een "security feature bypass" voor Windows 10 Mobile maakt het mogelijk om via spraakassistent Cortana toegang tot bestanden op een vergrendelde telefoon te krijgen. In dit geval heeft een aanvaller wel fysieke toegang tot het toestel nodig. Microsoft heeft geen beveiligingsupdate voor het probleem uitgebracht, maar adviseert gebruikers van Windows 10 Mobile om Cortana op het lockscreen uit te schakelen, zo meldt het Zero Day Initiative. Naast Windows en Microsoft Office zijn er ook kwetsbaarheden in Internet Explorer, Edge, ChakraCore, Microsoft Office Services en Web Apps, SQL Server Management Studio, Microsoft Dynamics 365 en Windows Update Assistant verholpen. De updates zullen op de meeste systemen automatisch worden geïnstalleerd. Afsluitend waarschuwt Microsoft gebruikers van Windows 7 en Windows Server 2008 R2 dat beide platformen vanaf 14 januari 2020 geen beveiligingsupdates meer zullen ontvangen. Gebruikers van deze platformen wordt aangeraden naar een nieuwere Windowsversie te upgraden. bron: security.nl

De Amerikaanse geheime dienst NSA waarschuwt dat verschillende Advanced Persistent Threat (APT) groepen gebruikmaken van kwetsbaarheden in de vpn-software van Pulse Secure, Palo Alto en Fortinet om organisaties aan te vallen (pdf). APT-groepen zijn volgens securitybedrijven en onderzoekers vaak statelijke actoren of groepen die in dienst van een land opereren. Via de beveiligingslekken kan een aanvaller kwetsbare systemen overnemen of toegang tot versleutelde vpn-sessies krijgen. Beveiligingsupdates voor de kwetsbaarheden zijn al maanden beschikbaar, maar nog niet alle organisaties hebben die geïnstalleerd. Als een aanvaller via de beveiligingslekken inloggegevens heeft gestolen, dan zullen die gegevens ook na het installeren van de updates werken. De NSA adviseert dan ook om inloggegevens na het patchen van de vpn-software te resetten en daarna pas de vpn-oplossing op het externe netwerk aan te sluiten. Het gaat dan onder andere om het intrekken van bestaande serversleutels en certificaten. Tevens geeft de NSA verschillende adviezen voor het uitrollen en beveiligen van vpn-oplossingen, zoals het loggen van vpn-gebruik, het verplichten van tweefactorauthenticatie, het vermijden van propriëtaire ssl-vpn-protocollen, het monitoren van logbestanden en het niet toestaan dat vpn-beheerders via de publieke vpn-webapplicatie op de beheerdersinterface inloggen. In plaats daarvan moet beheerderstoegang worden beperkt tot interne beheerdersnetwerken. Eerder kwam ook de Britse overheid al met een waarschuwing dat APT-groepen het op kwetsbare vpn-oplossingen hebben voorzien. bron: security.nl

De populaire e-mailclient Thunderbird wordt voorzien van ingebouwde OpenPGP-ondersteuning zodat gebruikers zonder het installeren van aanvullende add-ons versleuteld kunnen e-mailen. De nieuwe functionaliteit zal de Enigmail-add-on vervangen die nu wordt gebruikt om OpenPGP-support in Thunderbird mogelijk te maken. Enigmail zal tot de herfst van 2020 worden ondersteund. Thunderbird ondersteunt al jaren de S/MIME (Secure/Multipurpose Internet Mail Extensions) encryptiestandaard en zal dit ook blijven doen. Via Enigmail was het mogelijk om Thunderbird met de OpenPGP-standaard te gebruiken. Met de lancering van Thunderbird 78 zal er een verandering plaatsvinden in het type add-ons dat de e-mailclient ondersteunt. Thunderbird 68.x zal de laatste versie zijn die in combinatie met Enigmail is te gebruiken. Thunderbird 68.x wordt tot de herfst van volgend jaar ondersteund. Thunderbird 78, die voor de zomer van 2020 staat gepland, zal gebruikers helpen met het migreren van bestaande sleutels en instellingen. Enigmail-ontwikkelaar Patrick Brunschwig zal voortaan het Thunderbirdteam bij de OpenPGP-implementatie ondersteunen. Gebruikers van Thunderbird 78 die voorheen geen gebruik van Enigmail maakten zullen het gebruik van OpenPGP zelf moeten inschakelen. Wel zal de e-mailclient gebruikers helpen met het "ontdekken" van de nieuwe functionaliteit. Thunderbird kan de GnuPG-software vanwege licenties niet standaard bundelen, aldus de ontwikkelaars. Gebruikers moeten daarvoor externe software zoals GnuPG of GPG4Win installeren. Voor Thunderbird 78 zal er een alternatieve library worden gebruikt. Doordat er geen gebruik van GnuPG wordt gemaakt zullen verschillende onderdelen anders werken dan nu met Enigmail het geval is. Het gaat dan om zaken als de gebruikersinterface, vertrouwensmodellen, key management en het uitwisselen van encryptiesleutels die moeten worden herzien. bron: security.nl

De Windowsversies van iTunes en iCloud waren kwetsbaar voor een aanval via een tekstbestand, waardoor een aanvaller in het ergste geval volledige controle over het systeem had kunnen krijgen. Apple heeft beveiligingsupdates uitgebracht om de kwetsbaarheid te verhelpen. Geregeld worden er beveiligingslekken in iTunes en iCloud gevonden waardoor een aanvaller op afstand willekeurige code kan uitvoeren als er bijvoorbeeld speciaal geprepareerde webcontent of mediabestanden door de software worden verwerkt. Een beveiligingsonderzoeker met het alias "riusksk" ontdekte echter een manier hoe er via een speciaal geprepareerd tekstbestand een buffer overflow is te veroorzaken, waardoor een aanvaller vervolgens willekeurige code op het systeem kan uitvoeren. Naast dit beveiligingslek zijn er ook verschillende andere kwetsbaarheden in iCloud en iTunes verholpen waardoor een aanvaller kwetsbare systemen had kunnen overnemen. Gebruikers krijgen het advies om te updaten naar iTunes voor Windows 12.10.1, iCloud voor Windows 10.7 of iCloud voor Windows 7.14. De updates voor iCloud en iTunes zijn via de website van Apple te downloaden. bron: security.nl

Cybercriminelen maken gebruik van social engineering om tweefactorauthenticatie (2FA) te omzeilen, zo waarschuwt de FBI. De Amerikaanse opsporingsdienst heeft verschillende methodes in kaart gebracht die aanvallers toepassen om 2FA te omzeilen, waarbij social engineering de voornaamste methode is. De FBI benoemt in de waarschuwing aan bedrijven verschillende gevallen van sim-swapping. Bij sim-swapping belt een oplichter de telecomprovider van het slachtoffer op en overtuigt een medewerker om het mobiele nummer over te zetten naar een andere simkaart, die reeds in het bezit is van de oplichter. "Veel van deze aanvallen zijn afhankelijk van het social engineeren van servicemedewerkers van grote telecombedrijven, die de informatie aan de aanvallers geven", aldus de FBI in een Private Industry Notification die door Public Intelligence openbaar werd gemaakt (pdf). Een belangrijke maatregel om dergelijke aanvallen te voorkomen is bewust te zijn dat ze voorkomen, zo stelt de opsporingsdienst. Organisaties worden dan ook aangeraden om hun gebruikers en beheerders over "social engineering trickery" te onderwijzen. Verder wordt geadviseerd om aanvullende of complexere vormen van multifactorauthenticatie toe te passen, zoals biometrie of gedragsauthenticatiemethodes. "Hoewel dit ongemak voor de gebruik kan introduceren", zo merkt de FBI op. "Zeer zeldzaam" Alex Weinert van Microsoft stelt dat aanvallen op multifactorauthenticatie (MFA) bestaan, maar "zeer zeldzaam" zijn. Het aantal accounts dat via MFA is beveiligd en gecompromitteerd, bedraagt minder dan 0,1 procent van de populatie, aldus Weinert. "Vergeleken met wachtwoordaanvallen, zijn aanvallen tegen niet-wachtwoordauthenticators zeer bijzonder." Dat neemt niet weg dat MFA kwetsbaar is voor aanvallen. Volgens de Microsoftmedewerker zijn bijna alle authenticators die tegenwoordig in gebruikt zijn, zoals telefoons, e-mail, one-time passcode (OTP) tokens en push notificaties, kwetsbaar voor eenvoudige aanvallen waarbij het voor de authenticator gebruikte communicatiekanaal wordt overgenomen of er sprake is van een machine-in-the-middle voor het uitvoeren van real-time phishing. "Aanvallen die MFA omzeilen zijn zo bijzonder dat we er geen goede statistieken van hebben, maar als ze voorkomen, gaat het meestal om één of twee gevallen", merkt Weinert op. Hij maakte een overzicht van verschillende authenticators en hun kwetsbaarheden. Dan blijkt dat smartcards, Windows Hello en FIDO-tokens bescherming bieden tegen real-time phishing en het kapen van het communicatiekanaal. Afsluitend krijgen alle gebruikers het advies om MFA voor hun accounts in te schakelen en uiteindelijk naar sterkere authenticators zoals Windows Hello of FIDO-tokens over te stappen. bron: security.nl

Microsoft heeft in augustus een gerichte aanval ontdekt waarbij aanvallers probeerden om 241 Microsoft-accounts via wachtwoordresets over te nemen. In vier gevallen waren de aanvallers succesvol. De aanvallen zijn uitgevoerd door een groep die volgens Microsoft banden met de Iraanse overheid heeft. De groep, met de naam Phosphorus, had het voorzien op prominente Iraniërs die buiten Iran wonen, journalisten die over geopolitiek schrijven en accounts van een Amerikaanse presidentscampagne. In een periode van dertig dagen deden de aanvallers meer dan 2700 pogingen om e-mailaccounts van Microsoftgebruikers te identificeren. Vervolgens werden 241 van die accounts aangevallen. Vier van de accounts werden ook gecompromitteerd. Het ging niet om de accounts van de presidentscampagne en de gebruikers zijn geïnformeerd, aldus Microsoft. Voor het uitvoeren van de aanvallen gebruikte de groep informatie die het over doelwitten had verzameld. Met deze informatie werd geprobeerd de wachtwoorden van gebruikers te resetten. Zo zocht de groep naar het secondaire e-mailaccount van het doelwit dat aan het Microsoft-account was gekoppeld. Via de verificatie die naar dit tweede account werd gestuurd kon de groep het gekoppelde Microsoft-account overnemen. In andere gevallen gebruikten de aanvallers telefoonnummers van hun doelwitten om een wachtwoordreset uit te voeren. De aanvallen waren volgens Microsoft niet geraffineerd en maakten gebruik van een grote hoeveelheid persoonlijke informatie waarmee accounts werden geïdentificeerd en aangevallen. De softwaregigant stelt dat dit laat zien dat de groep zeer gemotiveerd is en veel tijd investeert in het verzamelen van informatie. Afsluitend krijgen gebruikers het advies om tweefactorauthenticatie voor hun account in te schakelen. bron: security.nl

Een beveiligingslek in de versleutelde chat-app Signal maakte het mogelijk om de microfoon van gebruikers zonder interactie op afstand in te schakelen. Het gaat om een soortgelijke kwetsbaarheid waar FaceTime eerder dit jaar mee te maken kreeg. Het beveiligingslek in de Androidversie van Signal werd ontdekt door Google-onderzoeker Natalie Silvanovich. Het ging om een logische fout waardoor Signal een inkomend gesprek beantwoordde nog voordat de gebelde persoon opnam. Op deze manier was het mogelijk om de microfoon op afstand en zonder interactie van de gebruiker in te schakelen. Een aanvaller zou via een aangepaste versie van Signal een bericht naar de telefoon van het doelwit kunnen sturen terwijl het inkomende gesprek gaande was. Via dit bericht was het mogelijk om de telefoon van het doelwit het gesprek te laten beantwoorden. Het ging hierbij alleen om audiogesprekken, aangezien de gebruiker video in gesprekken handmatig moet inschakelen. De iOS-versie heeft met een soortgelijk probleem te maken, maar daar bleek het door een fout in de gebruikersinterface toch niet mogelijk om de aanval werkend te krijgen. De ontwikkelaars van Signal hebben een beveiligingsupdate uitgebracht die het probleem verhelpt. Gebruikers krijgen dan ook het advies om naar de laatste versie te updaten. Signal-ontwikkelaar Moxie Marlinspike laat op Twitter weten dat de telefoon wel zou rinkelen en zou laten zien dat er werd gebeld. Daarnaast zou het beantwoordde gesprek in het overzicht van de gesprekslijst zichtbaar zijn. Het was dan ook niet mogelijk om de microfoon stilletjes in te schakelen, aldus Marlinspike. bron: security.nl