Vorige aflevering | Search TidBITS | TidBITS Homepage | Volgende aflevering

TidBITS Logo

TidBITS#1040, 16 augustus 2010

iOS-veiligheid overheerst in deze editie, met Glenn Fleishman die ons bericht over de veiligheids-gerelateerde iOS-updates. Ook omschrijft hij hoe het gebruik van versleutelde back-ups in feite de veiligheid een klein beetje vermindert en legt hij uit hoe je een gewijzigd wifi-wachtwoord in een iOS-apparaat moet aanpassen. Verder gaat beveiligingsredacteur Rich Mogull in op de uitdaging voor Apple met betrekking tot de veiligheid in iOS maar ook de voordelen die het bedrijf bij het iOS heeft. Een stapje langzamer gaat het bij Lex Friedman die naar een aantal essentiële Safari Extenties kijkt en we kondigen de uitgave van Sharon Zardetto's gezaghebbende e-boek "Take Control of Fonts in Snow Leopard" aan. Adam vertelt hoe we verouderde diensten hebben verplaatst. Belangrijke software-updates van deze week zijn VMware Fusion 3.1.1, Things 1.3.5, en de Office 2004/2008 Veiligheids Updates.
 
Artikelen
 

De Nederlandse editie van TidBITS is een letterlijke vertaling van de oorspronkelijke Engelse versie. Daarom is het mogelijk dat een deel van de inhoud niet geldt in bepaalde landen buiten de VS.

Er is ook een iPhone-versie van TidBITS-NL op <http://nl.tidbits.com/TidBITS-nl-1040i.html>
En als je de volgende koppeling opneemt als bladwijzer in Safari op je iPhone, iPad of iPod touch, heb je altijd de nieuwste aflevering:
<http://nl.tidbits.com/TidBITS-nl-i.html>


Deze editie van TidBITS werd gedeeltelijk gesponsord door:
Help TidBITS te ondersteunen door onze sponsors te sponsoren!

Dit nummer werd uit het Engels vertaald door:

Verder werkten mee:

Hoe je ons kunt bereiken kun je lezen op:
<./tidbits-nl/contact.html>


Beveiligings-update voor serieuze iOS-gevaren

  door Glenn Fleishman <glenn@tidbits.com>
  4 reacties (Engelstalig)

[vertaling: HM]

Reparaties voor twee serieuze gaten in iOS zijn nu beschikbaar in de vorm van iOS 3.2.2 voor de iPad en iOS 4.0.2 voor 2008 en oudere modelen van de iPhone en iPod touch. Sluit je iOS-apparaat (of -apparatuur) aan op de computer met welke je met iTunes synchroniseert en gebruik iTunes om de update te downloaden en installeren.

Een fout zit hem in de TrueType-afhandeling in Apple's iOS PDF-weergavesoftware. Een PDF met lettertypen gemaakt op een speciale manier kan kwaadwillenden toestaan om het even welk code uit te voeren op een iOS-apparaat simpelweg door je een PDF-bestand te laten lezen. Deze fout is gekoppeld aan een tweede in IOSurface, een model voor het opslaan of vast houden van afbeeldingen in het geheugen. De IOSurface-fout staat het toe om de code uit te voeren op een manier dat het volledige systeem rechten heeft.

Op dat moment, kan een aanvaller toegaan op afstand inschakelen, al je data kopiëren of verwijderen, of achtergrond-monitoring of gesprek-interceptiesoftware installeren.

De fouten werden ontdekt als onderdeel van de eerste gekraakte iPhone 4 met iOS 4, waarvoor je alleen naar een bepaalde webpagina hoefde te gaan. De verandering van privileges maakt het de gekraakte software mogelijk Apple's bescherming om andere software dan het bedrijf toestond te installeren te kraken.

Apple brengt blijkbaar geen beveiligingen updates meer uit voor de iPhone 3.1-familie, wat spijtig is voor sommige iPhone 3G-gebruikers welke gedwongen werden om van iOS 4 terug te keren naar 3.1.3 door aanzienlijke prestatieproblemen waarvan Apple zei dat ze ze onderzoeken.

Zelfs al is iOS 4 een gratis update, zou Apple beveiligingsupdates beschikbaar moeten stellen voor een veel gebruikt OS. Verder, oorspronkelijke iPhone- en iPod-gebruikers worden waarschijnlijk ook blootgesteld aan deze fouten en kunnen niet opwaarderen naar iOS 4

Lees reacties op dit artikel of plaats er een | Tweet dit artikel


Worstel met je Lettertypen met "Take Control of Fonts in Snow Leopard"

  door Adam C. Engst <ace@tidbits.com>

[vertaling: OF]

Het beheren van je lettertypen in Mac OS X lijkt maar al te vaak op het hoeden van katten (√°l die verschillende mappen met lettertypen) maar je kunt nu al je schreef- en schreefloze katjes in bedwang houden met onze nieuwe uitgave "Take Control of Fonts in Snow Leopard". Geschreven door Sharon Zardetto, beschrijft dit 225-pagina's tellende e-boek niet alleen alles wat je moet weten over lettertypen in Mac OS X 10.6 Snow Leopard en 10.5 Leopard maar gaat het ook in op meer specifieke situaties zoals bij het gebruik van Adobe CS4 en CS5, Microsoft Office 2004 en 2008, iLife en iWork

Belangrijke onderwerpen die behandeld worden:

Het e-book kost $ 15 en is inclusief een coupon die 20% korting geeft op elke aankoop bij Ergonis Software, de makers van PopChar X en andere hulpprogramma's.


Lees reacties op dit artikel of plaats er een | Tweet dit artikel


Wat te doen onder iOS als een wifi-netwerk-wachtwoord is veranderd

  door Glenn Fleishman <glenn@tidbits.com>

[vertaling: DPF]

Wanneer je you verbinding maakt met een wifi-netwerk met een apparaat dat onder iOS-besturingssysteem draait (iPad, iPhone en iPod touch), slaat je apparaat dat wachtwoord op om het later weer te kunnen gebruiken. Klinkt logisch.

Maar wat gebeurt er als het WEP-, WPA- of WPA2-wachtwoord voor je wifi-netwerk is veranderd? Waarschijnlijk probeert je apparaat dan verbinding te maken en vertelt het je vervolgens dat dat niet lukt. Een iPhone of iPad met 3G zal dan terugvallen op het 3G data-netwerk en het enige waaraan je dat kunt zien is het 3G-statussymbool in de linkerbovenhoek van het scherm (waar normaal gesproken het wifi-statussymbool te zien is).

De oplossing is het apparaat vergeetachtig laten zijn; ik heb pas recent ontdenkt dat dit de oplossing is voor een aantal problemen waar ik de laatste tijd last van had.

Om het incorrecte wachtwoord te omzeilen moet je allereerst binnen bereik zijn van een wifi-netwerk waarvan het wachtwoord veranderd is en vervolgens de volgende stappen volgen:

  1. In de Instellingen-app, tik op Algemeen > Netwerk > Network > Wi-Fi.

  2. Tik op de blauwe pijl voor details rechts van de netwerknaam waarmee je verbinding wilt maken.

    Als het wachtwoord opgeslagen is zul je bovenaan een knop "Dit netwerk vergeten" zien.

  3. Tik hierop en bevestig je keuze.

  4. Ga terug naar de lijst met wifi-netwerken en tik op de netwerknaam (ditmaal niet op de blauwe pijl).

    iOS vraagt je het netwerkwachtwoord. Vul dit in om opnieuw verbinding te maken met het netwerk.

Een handige truc, maar Apple moet eigenlijk een update voor het iOS uitgeven waarmee de gebruiker meteen wordt gevraagd om een ander wachtwoord als het bestaande wachtwoord niet werkt.

Lees reacties op dit artikel of plaats er een | Tweet dit artikel


Beveiligde iOS back-ups zijn veiliger, maar niet veel veiliger

  door Glenn Fleishman <glenn@tidbits.com>
  2 reacties (Engelstalig)

[vertaling: DPF, MSH]

In eerste instantie dacht ik dat Elcomsoft een grote tekortkoming had ontdekt in de manier waarop iTunes het iOS gebruikt om een back-up te maken van de gegevens op je iPhone, iPad of iPod touch. Het Russische beveiligingsbedrijf maakt software die de kwaliteit van wachtwoorden test voor veel verschillende softwarepakketten en besturingssystemen. Dit doen ze door te proberen in de software in te breken; de software is ook te koop voor forensische doeleinden.

Elcomsoft biedt iPhone Password Breaker aan ($ 79 of $ 199, afhankelijk van de mogelijkheden) om het wachtwoord van een iTunes back-up van een iOS-apparaat te kraken. Versie 1.2 kan nu ook de inhoud van de sleutelhanger van een iOS-apparaat bekijken als het wachtwoord gekraakt is. De iOS-sleutelhanger lijkt erg op die van Mac OS X (en is misschien wel identiek) en slaat wachtwoorden voor je netwerk, e-mail en dergelijke op en wachtwoorden van andere bedrijven die het advies van Apple gevolgd hebben om de sleutelhanger te gebruiken.

Andrey Belenko van Elcomsoft heeft uitgelegd hoe deze nieuwe mogelijkheid tot stand kwam. Voor iOS 4 gebruikten iOS-apparaten met een hardware-encryptiesleutel altijd die sleutel om de sleutelhanger te versleutelen. Tot nu toe was het onmogelijk om die hardware-encryptiesleutel uit een apparaat te halen en is sterk genoeg om kraakpogingen te weerstaan. (Hardware-encryptie vind je in alle iOS-apparaten die sinds 2009 verschenen zijn: alle iPads, de iPhone 3GS en de iPhone 4 en derde-generatie iPod touch-modellen.)

De hardware-sleutel wordt in iOS 4 back-ups nog steeds gebruikt door iTunes, met een belangrijke uitzondering. Wanneer je iPhone back-up versleutelen inschakelt (of welk iOS-apparaat je op dat moment ook hebt aangesloten), schakelt iOS 4 over van de hardware-sleutel naar een sleutel die is afgeleid van het wachtwoord dat je voor je back-up gebruikt.

Image

De reden hiervoor is, zo legt Belenko uit, dat iOS 4 vervolgens de overdracht van de sleutelhanger toestaat naar een apparaat dat je herstelt vanaf een back-up. Zo kun je, wanneer je je iPhone kwijt bent, hij gestolen of kapot is, of wanneer je een upgrade doet van de ene iPhone naar een andere, je laatste back-up op je nieuwe iPhone zetten. Voor iOS 4 bleven je wachtwoorden achter. (Elcomsoft biedt een uitgebreide FAQ aan over dit onderwerp.)

Gek: het versleutelen van je back-up maakt je gegevens feitelijk minder veilig. Het is echter geen veiligheidslek en Elcomsoft ziet het ook niet zo.

Om wachtwoorden uit je iPhone-sleutelhanger te halen moet een inbreker op de een of andere manier toegang tot je computer krijgen, fysiek of op afstand. Als dat gelukt is zou een programma geïnstalleerd kunnen worden dat je wachtwoorden ondervangt, en pas dan heeft de kwaadwillende alle sleutels in handen.

Belangrijk: als je een sterk wachtwoord hebt gebruikt zal het Elcomsoft-kraakprogramma niet kunnen helpen. Het is een methode van brute kracht en het bedrijf onderschat de moeilijkheidsgraad van het terugvinden van een wachtwoord niet. In de FAQ staat deze grappige conversatie:

(einde van een vraag): … alleen relatief korte en eenvoudige wachtwoorden kunnen worden teruggewonnen in een redelijke tijd.

Q: Wat bedoel je met "tijdrovend" en "redelijke termijn"?

A: Levenslang? Serieus, met een dergelijk goede bescherming kan het eeuwenlang duren om een lang wachtwoord te herstellen.

En Elcomsoft merkt verder op, "De iPhone back-up encryptie is goed genoeg. Nou, ze is bijna perfect naar onze maatstaven. Dat wil zeggen, het is echt veilig.".

Blijkbaar was Apple in staat om flexibiliteit toe te voegen zonder de beveiliging te compromitteren zolang je er voor zorgt om een redelijk lang en sterk wachtwoord aan te maken. Enige fout van Apple ? Niet de wachtwoord-assistent bijvoegen die wordt gebruikt in het Sleutelhanger-toegangsprogramma en op een paar andere plaatsen in Mac OS X om je te helpen bij het creëren van het beste wachtwoord voor je iOS back-ups.

(Dank aan TidBITS beveiligingsredacteur Rich Mogull voor zijn inbreng op dit artikel.)

Lees reacties op dit artikel of plaats er een | Tweet dit artikel


Archief van oude TidBITS-afleveringen omgezet

  door Adam C. Engst <ace@tidbits.com>

[vertaling: PP]

Wij zijn al heel lang actief op internet waardoor soms wat pijnlijke situaties ontstaan als lezers gewend geraakt zijn aan een van onze diensten uit de negentiger jaren die in het huidige internet niet meer erg zinvol zijn.

Onlangs moesten twee van die diensten kritisch worden bekeken nadat de hardware van een ervan (een antiek geval bij onze oude ISP Northwest Nexus) persoonlijke aandacht nodig had om het archief ftp.tidbits.com weer online te brengen. De betreffende computer, een oude Pentium-PC die op Linux liep, moet om de paar jaar herstart of vertroeteld worden en hoewel dat een indrukwekkend record is in betrouwbaarheid, hebben we besloten dat het tijd was om hem met pensioen te sturen en de bestanden op onze eigen server te zetten.

De betreffende bestanden zijn setext-geformatteerde versies van onze wekelijkse afleveringen die sommige mensen nog willen hebben in hun verzameling. We bieden ook TidBITS aan in een HTML-editie via email en die statische HTML-bestanden gaan terug tot heel lang geleden voor als iemand ze zou willen raadplegen. De HTML-bestanden staan nog op onze oudere Xserve op Power-PC waaruit we ze ook geleidelijk gaan verwijderen.

We vermelden dit om duidelijk te maken dat we nu statische setext- en HTML-geformatteerde bestanden van onze wekelijkse afleveringen beschikbaar gaan maken vanuit een nieuwe lokatie van ons db.tidbits.com-apparaat. Wie ze zoekt kan ze vinden op:

Uit nostalgie hebben we ons oude TidBITS-logo op die afleveringen laten staan zodat het lijkt alsof je weer terug bent in de negentiger jaren toen je de archieven raadpleegde.

Het is niet onze eerste keus om oude afleveringen aan te bieden als statische bestanden. Het komt nu allemaal uit een database. Als je Vorige afleveringen bezoekt (waarvoor de links onderaan de "Weekly Issues" op de navigatiebalk staan), kan je een lijst vinden van oude nummers in omgekeerde tijdvolgorde met hun samenvattingen.

Als je een ervan aanklikt verschijnt het nummer met alle artikelen en hun samenvattingen; je kunt meteen de volledige tekst van elk artikel oproepen of direct doorgaan naar de pagina ervan. Omdat deze afleveringen geen statische tekstbestanden zijn maar dynamisch zijn opgebouwd, kan je doorklikken om de gesproken versie te horen, de afdrukversie te zien en commentaren erop te lezen als die er zijn.

Maar wie zou de statische setext- en HTML-versies van onze afleveringen willen zien? We hebben gehoord dat er mensen zijn die oudere afleveringen willen downloaden om ze off-line te kunnen lezen als de internetverbinding slecht is. En er zijn ook enkele programmeurs die tools hebben gemaakt voor persoonlijk gebruik die van deze formats gebruikmaken.

Ongetwijfeld zullen er ook andere redenen voor zijn en daarom houden we ze aan zo lang ze gemakkelijk te maken zijn; en ook omdat er daarnaast andere manieren zijn om TidBITS te lezen, via email, door je te abonneren op onze RSS-lijn, met de TidBITS Nieuws-app voor iPhone, of gewoon door te het lezen op Internet.

Lees reacties op dit artikel of plaats er een | Tweet dit artikel


Vijf onontbeerlijke Safari-extensies

  door Lex Friedman <lex@lexfriedman.com>
  9 reacties (Engelstalig)

[vertaling: PP, JWB]

Browsers als Firefox, Chrome en zelfs Internet Explorer hebben al vanaf hun begin extra's en hulpprogramma's ondersteund. Safari, Apple's eigen browser, heeft niet minder dan zeven en een half jaar nodig gehad om extensies te toe te laten, wat uiteindelijk gebeurde met de onlangs geleverde Safari 5.

Apple heeft vorige maand een eigen map met Safari-extensies aangemaakt; daarvoor waren op Jonas Wisser's Safari Extensions-blog eenvoudig nieuwe extensies te vinden (beide sites zijn wat overweldigend). Er zijn al honderden Safari-extensies, er komen elke dag meer bij en het kan dus moeilijk zijn de naald in de hooiberg te vinden. Ik heb al enkele extensies ontdekt die mijn dagelijks gebruik van Internet sterk verbeteren, misschien helpen ze jou ook.

YouTube5 -- Connor McKay's YouTube5 is een van mijn favoriete Safari-extensies, maar beoordeel die extensie niet aan de hand van de website van de maker. Als je deze extensie activeert, neemt het aantal Flash-video's dat je op je browser te zien krijgt sterk af. De YouTube-video's, of ze nou op YouTube zelf staan of ergens anders, gebruiken dan geen Flash meer; in plaats daarvan roepen ze de HTML5-magie op wat veel minder van de processor vergt (en daarom minder stroom verbruikt) in je Mac.

Image

De YouTube5-extensie bevat maar een enkele voorkeur: je kunt de grootste videoformat die beschikbaar is kiezen om te downloaden: 360p, 720p, of de volledige HD 1080p.

InvisibleHand -- Van deze extensie, gecreëerd door de gelijknamige koopsite, word ik heel gelukkig want het bespaart me veel geld. Voordat ik online koop ben ik altijd lang bezig om na te kijken of ik of ik echt wel het beste koopje heb vgevonden. Dat wil zeggen, tot nu toe.

Image

ExtraBITS, 16 augustus 2010

  van de TidBITS-redactie <editors@tidbits.com>

[vertaling: MSH]

Maar twee ExtraBITS voor je deze week, hartelijke gelukwensen aan de onnavolgbare Nitrozac en Snaggy voor de 10e verjaardag van hun strip Joy of Tech en een link naar een wetenschappelijke verhandeling, waaruit blijkt dat GSM-wachtwoorden kunnen worden gekraakt op basis van schermvlekken.

Joy of Tech Comic viert 10e verjaardag --Felicitaties voor Nitrozac en Snaggy voor 10 jaar van hun technologie-gerichte Joy of Tech-strip, waar we al langere tijd regelmatig stil bij gestaan hebben, wij allen hier bij TidBITS. Als je het niet zou lezen, mis je een van de belangrijkste bronnen van technologische humor, vaak met een wrange nadruk op de wereld van Apple.

Reacties

Smartphones gevoelig voor Smudge Hacking (PDF) -- Wordt hier niet te paranoïde van, maar beveiligingsonderzoekers van de Universiteit van Pennsylvania hebben aangetoond dat grafische Android-wachtwoorden kunnen worden teruggehaald door het scherm te fotograferen van een smartphone en de vlekkige patronen te analyseren. Er is niet veel kans op dat deze aanval op grote schaal zal worden gebruikt, omdat het alleen toegepast kan worden als je bij het apparaat kan, of als hetzelfde wachtwoord elders wordt gebruikt en het scherm makkelijk schoongemaakt kan worden. Maar toch is het interessant waar beveiligingsproblemen precies gevonden kunnen worden.

Lees reacties op dit artikel of plaats er een | Tweet dit artikel


Uitdagingen en voordelen: de beveiliging van Apples iOS

  door Rich Mogull <rich@tidbits.com>
  5 reacties (Engelstalig)

[vertaling: RAW, TK]

Een van de controversieelste debatten in de beveiligingswereld is al een hele poos die over de rol van marktaandeel. Zijn Macs veiliger omdat er minder gebruikers zijn, waardoor ze minder aantrekkelijk worden voor serieuze cybercriminelen? Hoewel het Mac-marktaandeel geleidelijk aan blijft stijgen, is er nog geen antwoord. Maar het is waarschijnlijker dat we het in onze zakken en niet op onze bureaus zullen vinden.

De iPhone is waarschijnlijk het populairste telefoonmodel op aarde. Voeg daar nog de andere iOS-apparaten, de iPad en iPod touch, aan toe en Apple is een van de machtigste makers van mobiele apparaten, met meer dan 100 miljoen verkochte apparaten tot nu toe. Omdat er veel meer mobiele telefoons dan computers op de wereld zijn, en dat verschil maar blijft toenemen, worden iOS-apparaten veel belangrijker in het grote beveiligingsplaatje dan Macs.

Zoals vermeld in dit CNET-artikel staat de iPhone (en daarmee ook de andere iOS-apparaten) al meer onder de kritische aandacht van de beveiliging-onderzoeksgemeenschap. Ik kan persoonlijk getuigen dat veel van mijn collega's in beveiligingsonderzoek interesse beginnen te krijgen in allerlei mobiele apparaten, maar vooral op iOS- en Android-toestellen. En als het aantal apps voor mobiel bankieren en winkelen telt als aanwijzing, dan worden deze apparaten nu regelmatig gebruikt voor belangrijke financiële transacties die verder gaan dan de enorme sms-rekeningen van tieners.

Smartphones veranderen het beveiligingstoneel -- Hoewel mobiele telefoons nooit de veiligste gadgets zijn geweest, bleven hun beveiligingsproblemen beperkt totdat smartphones veel gebruikt gingen worden. Het ergste waar je je zorgen over moest maken was dat iemand je telefoon kloonde en je rekening aandikte met buitenlandse gesprekken. Zelfs de vroege smartphones waren vrij beperkt door hun rammelende interface, vreselijke browsers, minimaal gebruik buiten het bedrijfsleven en gebrek aan consistentie. Maar de iPhone luidde een nieuw tijdperk in van populaire en uitbreidbare smartphones. De combinatie van populariteit en functionaliteit verandert het mobiele-telefoonlandschap op een aantal fundamentele manieren:

Het goeie nieuws is dat hoewel Apple nieuwe beveiligingsuitdagingen krijgt met hun mobiele apparaten, ze ook al een sterke beveiligingsfundering hebben gelegd met de potentie tot veel sterkere beveiliging dan we ooit zullen zien op computerplatforms voor algemeen gebruik zoals de Mac.

Omdat ik het liefst positief eindig, wilde ik beginnen met sommige van de beveiligingsuitdagingen en afsluiten met de mogelijke voordelen voor het bedrijf.

Apples uitdagingen voor mobiele beveiliging -- De belangrijkste problemen die Apple kan krijgen met de iPhone zitten niet in de hardware en zelfs niet in de software, maar in de interne processen en in hoe moeilijk het is om beveiliging in stand te houden op verschillende platformen (mobiel of niet) met een gemeenschappelijke codebasis.

Ten eerste is Apple altijd al niet de snelste geweest met het aanbieden van reparaties voor bekende zwakke plekken die gedicht werden in de open-broncomponenten die gebruikt worden in OS X. Zo was bijvoorbeeld een van de eerste gaten die gebruikt werden om jailbreaking mogelijk te maken een bekende fout in een gemeenschappelijke softwarebibliotheek die gebruikt werd voor het tonen van TIFF-afbeeldingen. Omdat deze zwakke plek wel allang op de andere platforms was gedicht, maar niet voor de iPhone, gaf het aanvallers een rechtstreekse routekaart tot in de iPhone. Hoewel Apple ermee weggekomen is met dit soort zwakke plekken in Mac OS X (waaronder fouten in de Apache-webserver, in bestandsdelen dat compatibel was met Samba voor Windows en in de MDNS-dienst die de basis van Bonjour vormt), betekent de toegenomen aandacht voor de iPhone dat de tijd tot het moment waarop een component wordt gerepareerd op andere platformen en gedurende welke een iOS-gebruiker kwetsbaar is, korter is geworden.

Ten tweede repareert Apple ook zijn eigen softwarefouten op verschillende snelheden voor verschillende platformen, waardoor de gebruikers aan meer risico's worden blootgesteld. Zo repareert Apple soms beveiligingsfouten voor de Mac-versie van Safari voordat ze dezelfde fouten in Mobile Safari repareren. iOS is een versie van OS X, en het is dus logisch dat sommige beveiligingsfouten op beide platformen voor zullen komen. Apple heeft zelfs de open-bronversie van de WebKit-code waarop Safari gebouwd is (en die zij beheren) gerepareerd voordat dezelfde reparaties werden uitgevoerd in Safari zelf.

Deze procesgerelateerde problemen zijn waarschijnlijk het grootste beveiligingsrisico voor iOS-toestellen. Telkens wanneer een kwetsbaarheid wordt opgelost op een ander platform (een open-sourcecomponent of een deel van de eigen software van Apple) kan het aanvallers een andere manier bieden om iOS-toestellen te hacken.

Apple staat nog voor verscheidene andere uitdagingen op het vlak van beveiliging. Aangezien jailbreaking steunt op het exploiteren van zwakke punten in de beveiliging, is de belangrijkste uitdaging wel dat telkens wanneer een nieuwe jailbreak wordt uitgebracht, dit ook aanvallers een nieuwe manier kan bieden om iOS-toestellen aan te vallen.

In sommige gevallen is dit niet zo een groot probleem, aangezien je om toestel te jailbreaken je ook fysiek aan het toestel moet kunnen. Maar zoals beschreven op de site jailbreakme.com, kunnen deze exploits soms al worden geactiveerd gewoon door naar een webpagina te gaan. Bekijk het zo: zelfs wanneer het voor cyberboeven de moeite niet loont om in te breken in een iOS-toestel, dan doen jailbreakers het wel. En zodra een jailbreak wordt uitgebracht, kunnen de slechten er een aanvalswapen van maken. (En ja, voor alle duidelijkheid, elke jailbreak is een beveiligingsexploit.)

Ten slotte mag de beveiliging in iOS dan wel veel beter zijn dan die in Mac OS X, maar er blijft toch nog altijd veel ruimte voor verbetering, vooral in het sandboxen van sommige native programma's van Apple, zoals Safari. Van alle beveiligingsrisico's in iOS zijn deze het gemakkelijkst voor Apple om aan te pakken.

Apple iOS-beveiligingsvoordelen -- Hoewel de beveiliging van iOS-toestellen kritischer wordt bekeken dan die van bijna om het even welk andere mobiel toestel (met als mogelijke uitzondering de BlackBerry van RIM, en Android van Google dat ongetwijfeld meer aandacht krijgt), bieden iOS-toestellen toch ook aanzienlijke beveiligingsvoordelen:

Beveiliging haalt de overhand voorlopig -- In de eindvergelijking van beveiligingsuitdagingen tegen voordelen, staan de iOS-toestellen van Apple sterk. De fundamentele beveiliging van het platform is goed ontworpen, zelfs al is er nog ruimte voor verbetering. Belangrijke exploits voor het platform schrijven vergt veel meer kennis dan om de Mac aan te vallen, zelfs al zijn de slechten meer gemotiveerd.

Er gaan wel stemmen op om het platform open te stellen voor extra beveiligingssoftware zoals antivirusprogramma's (meestal van antivirusfirma's), maar ik zie Apple liever alles onder strikte controle houden en te werken met een gesloten systeem, sneller uitbrengen van patches en meer sandboxen. De grootste mogelijkheden voor verbetering liggen in meer bewustzijn, snellere reactieprocessen, en een groter bewustzijn van de potentiële gevolgen van beveiligingsproblemen.

En zelfs als Apple het nu nog niet begrepen heeft, dan zullen ze het zeker begrijpen bij de eerste aanval op grote schaal.

Lees reacties op dit artikel of plaats er een | Tweet dit artikel


TidBITS Volglijst: belangrijke software-updates, 16 augustus 2010

  van de TidBITS-redactie <editors@tidbits.com>

[vertaling: OF]

VMware Fusion 3.1.1 -- VMware Fusion, dat het mogelijk maakt Windows en andere besturingssystemen te draaien op je Mac met een Intel-processor is opgewaardeerd tot versie 3.1.1. Deze onderhoudsupdate ondersteunt nu VMware vSphere 4.1 als gast-besturingssysteem en maakt het mogelijk om ESX te draaien zonder extra hardware, hoewel deze eigenschap op het ogenblik nog als experimenteel vermeld staat en het bedrijf waarschuwt om het niet te gebruiken in een productie-omgeving. De update lost ook een aantal andere problemen op die zich voordeden met sommige iSight-camera's, het verwijdert een incorrecte melding van een schijffout nadat de host onverwacht gestopt is en het corrigeert een probleem waardoor geluidsopnames alleen met 44,1 kHz werkten. VMware Fusion vereist Ma OS X 10.4.11 of hoger en uiteraard een versie van Windows als je plannen hebt om dat besturingssysteem te installeren. De nieuwste versie is te downloaden vanuit VMware Fusion zelf of vanaf de VMware-website. ($ 79,95 nieuw, gratis upgrade, 434 MB)

Reacties - VMware Fusion 3.1.1

Things 1.3.5 -- Cultured Code heeft een serie van zes oplossingen voor zijn vlaggeschip, het taakmanagement-programma Things. De 1.3.5 update lost een aantal problemen op waardoor het programma crashte, waaronder een probleem bij het verplaatsen van een to-do in het Vandaag-venster. Andere verbeteringen zijn een oplossing voor het probleem dat iCal-kalenders niet zichtbaar zijn als je een alternatieve iCal-synchronisatie gebruikt, een probleem waarbij het dubbelklikken op een to-do een verkeerd scherm toonde in bepaalde vensters en een probleem met het her-sorteren van to-do's als ze op een kenmerk gefilterd worden. In de gedetailleerde uitgavenotities valt nog te lezen dat ook oplossingen zijn gevonden voor lokalisatie-eigenaardigheden, symbolen, zomertijd, projectlabels en een aantal interface-problemen ($ 49,95 nieuw, gratis upgrade, 8 MB)

Reacties - Things 1.3.5

Office 2004/2008 veiligheids-updates -- Microsoft heeft een trio veiligheidsupdates uitgebracht die een verschillende veiligheidsproblemen in in de Office pakketten oplost. De updates (Microsoft Office 2008 voor Mac 12.2.6 Update, Microsoft Office 2004 voor Mac 11.6.0 Update en de Open XML File Format Converter voor Mac 1.1.6) dichten een lek waardoor vijandige gecodeerde bestanden die in Excel of Word geopend worden de aanvaller toegang geven om code uit te voeren op je Mac. De Office 2008-update vernieuwt Microsoft Entourage's tijdzone-informatie en repareert een paar problemen die Excel onverwacht doet stoppen bij het opstarten, bij het sorteren van samengevoegde cellen of het bewerken van de celinhoud. Al deze updates zijn gratis en Microsoft beveelt Office-gebruikers aan om deze updates zo snel mogelijk uit te voeren. Let op dat deze updates niet onderbroken of gestopt mogen worden voor het proces is afgelopen omdat je hiermee met een niet meer werkende Office kan blijven zitten. (Mocht dit al gebeurd zijn, herinstalleer dan het Office pakket en draai de updates alsnog voordat je het verder gaat gebruiken).

Reacties - Office 2004/2008 Security Updates

Lees reacties op dit artikel of plaats er een | Tweet dit artikel


ExtraBITS, 16 augustus 2010

  van de TidBITS-redactie <editors@tidbits.com>

[vertaling: MSH]

Maar twee ExtraBITS voor je deze week, hartelijke gelukwensen aan de onnavolgbare Nitrozac en Snaggy voor de 10e verjaardag van hun strip Joy of Tech en een link naar een wetenschappelijke verhandeling, waaruit blijkt dat GSM-wachtwoorden kunnen worden gekraakt op basis van schermvlekken.

Joy of Tech Comic viert 10e verjaardag --Felicitaties voor Nitrozac en Snaggy voor 10 jaar van hun technologie-gerichte Joy of Tech-strip, waar we al langere tijd regelmatig stil bij gestaan hebben, wij allen hier bij TidBITS. Als je het niet zou lezen, mis je een van de belangrijkste bronnen van technologische humor, vaak met een wrange nadruk op de wereld van Apple.

Reacties

Smartphones gevoelig voor Smudge Hacking (PDF) -- Wordt hier niet te paranoïde van, maar beveiligingsonderzoekers van de Universiteit van Pennsylvania hebben aangetoond dat grafische Android-wachtwoorden kunnen worden teruggehaald door het scherm te fotograferen van een smartphone en de vlekkige patronen te analyseren. Er is niet veel kans op dat deze aanval op grote schaal zal worden gebruikt, omdat het alleen toegepast kan worden als je bij het apparaat kan, of als hetzelfde wachtwoord elders wordt gebruikt en het scherm makkelijk schoongemaakt kan worden. Maar toch is het interessant waar beveiligingsproblemen precies gevonden kunnen worden.

Reacties

Lees reacties op dit artikel of plaats er een | Tweet dit artikel


Dit is TidBITS, een gratis wekelijkse technologie-nieuwsbrief met recent nieuws, bekwame analyse, en grondige besprekingen voor de Macintosh- en internet-gemeenschappen. Geef het gerust door aan je vrienden; beter nog, vraag of ze een abonnement willen nemen!
Niet-winstgevende en niet-commerciële publicaties en websites mogen artikelen overnemen of een link maken als de bron duidelijk en volledig vermeld wordt. Anderen gelieve ons te contacteren. We kunnen de precisie van de artikelen niet garanderen. Caveat lector. Publicatie-, product- en firmanamen kunnen gedeponeerde merken zijn van hun ondernemingen.
Copyright 2010 TidBITS; reuse governed by this Creative Commons License.

Vorige aflevering | Search TidBITS | TidBITS Homepage | Volgende aflevering