Vorige aflevering | Search TidBITS | Volgende aflevering
TidBITS English | TidBITS Nederlands

TidBITS Logo

TidBITS#1264, 23 maart 2015

Er wordt veel onzin verkocht over de kwetsbaarheid van de nieuwe 12 inch-MacBook voor de BadUSB-aanval als gevolg van het gebruik van de USB-C-connector, maar bij nadere beschouwing blijkt dat nogal overdreven te zijn. Dat geldt ook voor de verhalen over de vermeende onveiligheid van Apple Pay: Rich Mogull laat zien dat die feitelijk te wijten is aan onveilige processen bij banken. Julio Ojeda-Zapata test de nieuwe Force Touch-trackpad en is onder de indruk van de technologie, maar niet genoeg om zijn muis vaarwel te zeggen. Voormalig Macworld-redacteur Dan Moren levert deze maand een bijdrage waarin hij BusyContacts, een voor veeleisende gebruikers geschikt nieuw alternatief voor Apples app Contacten, tegen het licht houdt. En ten slotte hebben we voor TidBITS-leden het nieuwste hoofdstuk van Joe Kissells "Take Control of Security for Mac Users", dat ingaat op wat je kunt doen om de veiligheid van je iCloud-account te vergroten. Belangrijk software-uitgaven zijn deze week Safari 8.0.4, 7.1.4 en 6.2.4, Skype 7.6, Voila 3.8.3, Beveiligingsupdate 2015-003 (Yosemite), Typinator 6.5, Audio Hijack 3.0.3 en Nisus Writer Pro 2.1.
 
Artikelen
 

De Nederlandse editie van TidBITS is een letterlijke vertaling van de oorspronkelijke Engelse versie. Daarom is het mogelijk dat een deel van de inhoud niet geldt in bepaalde landen buiten de VS.


Deze editie van TidBITS werd gedeeltelijk gesponsord door:
Help TidBITS te ondersteunen door onze sponsors te sponsoren!

Dit nummer werd uit het Engels vertaald door:

Verder werkten mee:

Hoe je ons kunt bereiken kun je lezen op:
<de contactpagina>


Macs niet kwetsbaar voor BadUSB-aanval

  van de TidBITS-redactie: editors@tidbits.com
  13 reacties (Engelstalig)

[vertaling: TK]

"De enige USB-poort van de nieuwe MacBook stelt de computer bloot aan een belangrijk veiligheidsrisico", zo valt te lezen bij The Verge. Gizmodo deed nog een schepje bovenop het verhaal van The Verge, met "De NSA gaat dol zijn op deze USB-C-laadsnoeren". Wat is er nu precies aan de hand, en is er ook vuur, of alleen maar rook?

Deze artikelen zijn zuiver klik-aas. De voornaamste exploit in kwestie, met de naam BadUSB, werd 8 maanden geleden ontdekt. In theorie zou hij kunnen worden gebruikt om de meeste USB-apparaten aan te vallen, waaronder Macs, iPads, Windows pc's enzovoort. Maar de schijn wekken dat de nieuwe 12 inch-MacBook, en in mindere mate de nieuwe Chromebook Pixel van Google, een nieuw zwak punt heeft omdat hij werkt met USB-C, is op zijn zachtst gezegd misleidend.

Wat is BadUSB? Het is en type aanval waarbij de USB-controller op een apparaat, bijvoorbeeld een USB-stick, wordt overschreven met kwaadaardige code. Vervolgens kan dat gecompromitteerde apparaat alles waarop het wordt aangesloten aanvallen door malware in te brengen, toetsaanslagen in te voeren, of alles wat een USB-apparaat kan. Hiervoor moet BadUSB de firmware op het USB-apparaat kunnen flashen.

Gizmodo lijkt te geloven dat de 12 inch-MacBook kwetsbaar is voor deze rechtstreekse aanval, en gaat zelfs zo ver dat ze stellen dat de NSA gehackte USB-C-netstroomadapters gaat verspreiden die ontworpen zijn om je notebook over te nemen. Maar in tegenstelling tot Thunderstrike op kwetsbare Macs (zie "Proof of concept-aanval Thunderstrike ernstig maar beperkt", 9 januari 2015), maakt de USB-poort gebruik van Intels xHCI (eXtensible Host Controller Interface), die niet in een DFU-mode (device firmware upgrade) kan worden ingesteld om de firmware van de MacBook te overschrijven. Dit betekent dat BadUSB de MacBook zelf niet kan infecteren. Je kunt dus niet iemand de controle over je MacBook geven door een onbekende netstroomadapter aan te sluiten.

Er zijn nog andere aanvalsvectoren, maar geen echt zorgwekkende. USB-C biedt bijvoorbeeld ondersteuning voor DMA (direct memory access, rechtstreekse geheugentoegang), dat in het verleden al werd gebruikt in aanvallen op computers omdat het een willekeurig aangesloten apparaat rechtstreekse toegang tot het geheugen van de computer biedt. In theorie zou een aanvaller door middel van een DMA-aanval geheugen kunnen lezen, of geheugenplaatsen kunnen overschrijven met zijn eigen code. Macs werken nu echter met Intels VT-d, dat het geheugen waartoe DMA-apparaten toegang hebben virtualiseert, de apparaten beperkt tot gekende geheugenplaatsen, en voorkomt dat een DMA-aanval uitvoerbaar geheugen overschrijft en een exploit opstart.

Een andere vector zou een apparaat zijn dat onder controle van BadUSB staat en malware op de aangesloten computer installeert. Maar Macs voeren bestanden op remote opslag niet automatisch uit. De gebruiker zou dus verleid moeten worden om een app op te starten van een onverwacht geactiveerde schijf. Dat is niet onmogelijk, maar het lijkt relatief onwaarschijnlijk.

Ten slotte zou een apparaat onder controle van BadUSB toetsaanslagen op een Mac kunnen uitvoeren. Maar dit is alleen nuttig wanneer de Mac draait, het scherm niet vergrendeld is, en de gebruiker dit niet opmerkt of niet tussenkomt in de reeks toetsaanslagen om iets slechts te doen. Ook deze aanval lijkt niet echt waarschijnlijk.

Misschien verliezen we hier iets uit het oog, maar het ziet ernaar uit dat The Verge en Gizmodo het verkeerd voor hebben, en USB-C geen nieuw risico voor Macs is. De NSA zal iets minder idioots moeten verzinnen dan geïnfecteerde USB-C-netstroomadapters in de landelijke cafés te laten rondslingeren.

Lees reacties op dit artikel of plaats er een | Tweet dit artikel


Hoofdstuk 9 van "Take Control of Security for Mac Users" beschikbaar

  door Adam C. Engst: ace@tidbits.com, @adamengst

[vertaling: LmR]

Als het over beveiliging gaat, dan is het goed om eens naar Apples online dienst iCloud te kijken. Niet zozeer omdat Apple iCloud niet goed genoeg beveiligd zou hebben, maar vooral omdat iCloud veel wordt gebruikt en er een hoop persoonlijke gegevens in staan, waardoor het interessant wordt voor boeven. En daarom helpt Joe Kissel je in hoofdstuk 9, "Manage iCloud Security", het deel van "Take Control of Security for Mac Users" van deze week Apples veiligheidsbeleid te doorgronden, en te zien waar iCloud min of meer veilig is. Ook geeft hij manieren waarop je je beveiliging kan verbeteren.

Joe bekijkt met name het instellen van de dubbele verificatie die je account zelfs kan beschermen als je wachtwoord is gekraakt en toont daarna welke iCloud-diensten je misschien wilt vermijden (en waarom) als je je echt zorgen maakt om je veiligheid. Voor hen die dubbele verificatie inschakelen, is ook te lezen hoe je app-specifieke wachtwoorden kan aanmaken die nodig zijn voor apps van derden die met iCloud werken, zoals BusyCal en BusyContacts, Outlook, Thunderbird enzovoort.

Als je net begint aan "Take Control of Security for Mac Users": de eerste twee hoofdstikelen zijn gratis voor iedereen, maar de volgende hoofdstikelen zijn alleen toegankelijk voor TidBITS-leden. Mensen die TidBITS-lid worden, hebben ook andere voordelen (zoals kortingen op Mac-software!), maar nog belangrijker is dat de bijdragen voor het TidBITS-lidmaatschap TidBITS de afgelopen jaren draaiende hebben gehouden. Jullie steun is onmisbaar geweest. Als je al TidBITS-lid bent, log dan in op de TidBITS-site met het e-mailadres waarmee je je hebt opgegeven, om deze hoofdstukken te lezen en erop te reageren.

>We hebben nog drie hoofdstukken te gaan, maar zodra die af zijn zal het volledige e-boek van "Take Control of Security for Mac Users" voor iedereen te koop zijn als PDF-, EPUB- en Mobipocket- (Kindle-)bestand.

Lees reacties op dit artikel of plaats er een | Tweet dit artikel


Force Touch-trackpad maakt MacBooks overtuigender

  door Julio Ojeda-Zapata: julio@ojezap.com

[vertaling: HV, JWB]

Ik heb altijd een beetje een dubbel gevoel gehad bij Apples trackpads. Ik waardeer het comfort en de precisie die ze bieden, maar ik werk toch echt efficiënter met een muis. Bovendien heeft de trackpad zoveel functies, dat ik door de bomen het bos niet meer zie. Ik kan nooit alle meer-vingerbewegingen onthouden, laat staan ze effectief gebruiken. Dus toen Apple de Force Touch-trackpad aankondigde, met nog meer input-mogelijkheden, was ik zacht gezegd sceptisch.

De Force Touch-trackpad is op dit moment alleen verkrijgbaar op de zojuist vernieuwde 13 inch-MacBook Pro met Retina-beeldscherm. Ook de nieuwe 12 inch-MacBook, die begin volgende maand uitkomt (zie "Nieuwe 12 inch-MacBook voegt zich bij updates van MacBook Air en MacBook Pro", 9 maart 2015), zal er mee uitgerust zijn. Ik heb het nu een paar dagen kunnen uitproberen op een 13 inch-MacBook Pro met Retina-beeldscherm.

"Force Touch", wat klinkt als de naam van een kungfu-techniek, slaat op de nieuwe functies van de trackpad, waarbij het gevoel van een mechanische klik wordt gesimuleerd, ook al is het oppervlak van de trackpad feitelijk niet beweeglijk. In plaats daarvan heeft de trackpad sensoren die de druk van vingers detecteren, en reageert hij met haptische vibraties.


Deze respons is vrijwel niet te onderscheiden van een fysieke klik, en iemand die er niet van op de hoogte is dat het om een nieuw soort trackpad gaat zal het verschil hoogstwaarschijnlijk niet merken. Ik moest naar de bewegingen van mijn vinger op de trackpad kijken om er zeker van te zijn dat ik niet te maken had met een oude Apple-trackpad met traditionele mechanische acties.

Matthew Panzarino van TechCrunch heeft een prima uitleg van de werking van de trackpad geschreven:

Onder de trackpad bevinden zich een aantal trillende motortjes, die een "force feedback" genereren, iets wat ook wel haptische terugkoppeling wordt genoemd. Deze feedback laat je vingers geloven dat je een scharnierende knop hebt ingedrukt, precies zoals een standaard trackpad werkt. De feedback van de trackpad is afhankelijk van een verschijnsel dat laterale krachtvelden (lateral force fields, LFF) wordt genoemd, waarbij mensen vibraties als oppervlaktestructuur waarnemen. Daardoor kun je het gevoel krijgen van een aanklikbaar oppervlak, of zelfs van diepte. De Force Touch-functie van de nieuwe trackpad laat je ook "dieper" drukken, wat extra niveaus van tik-feedback geeft. De hele functionaliteit is zo goed uitgevoerd, dat je werkelijk het gevoel hebt de trackpad verder in te kunnen drukken, terwijl hij feitelijk helemaal niet beweegt. Het werkt zo goed dat het bijna eng is.

Force Touch is meer dan een goedkope truc. Het opent nieuwe mogelijkheden. Niet alleen kan het de standaard klik simuleren, je kunt bijvoorbeeld ook iets harder drukken, en zo een "krachtige klik" genereren. Als je dat doet, voel je niet één maar twee afzonderlijke klikken. En afhankelijk van waar je cursor zich precies bevindt als je dat doet, gebeuren er verschillende dingen.

Apple heeft een lange lijst van mogelijkheden op zijn website, maar de belangrijkste mogelijkheden zijn krachtig klikken op een bestandsicoontje om een Snelle weergave-voorvertoning te zien, op een positie op een kaart om een speldje op de betreffende locatie te plaatsen, op een gebeurtenis of geheugensteuntje om de details te zien, op een koppeling in Safari of Mail om een web-voorvertoning te zien, of op tekst op een webpagina of in een e-mailbericht om een venster te voorschijn te toveren met relevante woordenboek- of Wikipedia-informatie. Het is niet duidelijk hoe Apple tot juist deze keuzes is gekomen of in hoeverre zij verschillen van control-/rechtermuisknop-klikacties.


Als je harder op de trackpad drukt, spoelen filmpjes in QuickTime Player en iMovie sneller voor- en achteruit, en verloopt het zoomen in de app Kaarten sneller. Daarnaast krijg je haptische feedback als je, bijvoorbeeld, annotaties in een pdf uitlijnt, een iMovie-clip tot z'n maximum-lengte sleept, of een titel in iMovie naar z'n plek sleept.


Over een tijdje zullen ook andere ontwikkelaars dan Apple de nieuwe functies van de trackpad kunnen gebruiken om bijvoorbeeld drukgevoeligheid in te bouwen in tekenprogramma's. Apples app Voorvertoning kent die mogelijkheid al: als je in een pdf een lijn trekt, dan kun je de dikte variëren door harder of minder hard op de trackpad te drukken. En dat werkt ook als je een aantekening in een Mail-bijlage maakt.


Op een meer basaal niveau kopieert de nieuwe Force Touch-trackpad vertrouwde functies die we kennen van de mechanische trackpad, zoals een bestand met duim en wijsvinger verslepen. Dat voelt wat beter aan met de Force Touch-trackpad, omdat in het Trackpad-paneel van Systeemvoorkeuren de klik-druk kan worden ingesteld van "licht" tot "stevig", een optie die bij mechanisch klikken niet aanwezig was. Ik geef de voorkeur aan "gemiddelde" druk.

De Force Touch-trackpad behoudt oudere mogelijkheden. Zachtjes tikken met twee vingers is nog steeds een equivalent van een klik op de rechtermuisknop. Ook aanwezig is de éénvingerfunctie "tikken om te klikken", waar sommige andere Mac-gebruikers een hekel aan hebben. Ik houd er al heel lang van. Alle andere gebaren voor slepen, inzoomen, draaien en dergelijke zijn er eveneens. Ik vond ze nooit overtuigend genoeg om ze in de vingers te krijgen.

Ik vraag me af of ik Force Touch uiteindelijk als essentieel zal beschouwen, of als nutteloos. Ik kan dat na enkele dagen gebruik nog niet zeggen, maar ik neig naar de gulden middenweg van het waarderen, maar niet echt nodig hebben van de nieuwe mogelijkheden.

Zo gebruik ik Snelle weergave door een bestand of map te selecteren en vervolgens op de spatiebalk te drukken. In plaats daarvan zou ik krachtig op het bestand kunnen klikken, maar is dat gemakkelijker of handiger? Misschien een klein beetje.

Wanneer ik de lijst met Force Touch-acties afloop, zit er geen enkele bij die me doet uitroepen "Wauw, ik ben blij dat ik dat nu kan doen". Maar wanneer ze ingeworteld raken in het Mac-landschap, is het heel wel mogelijk dat ik sommige ervan zal omarmen. Ze zijn niet baanbrekend, maar ze zijn beslist erg gaaf en leuk.

Met andere woorden: de Force Touch-trackpad is op zichzelf geen reden om naar de winkel te hollen en een nieuwe MacBook te kopen. Maar de nieuwe functies bewijzen vooral dat Apple het voortouw neemt in trackpad-ontwerp. Ik verwacht dat fabrikanten van pc-notebooks op korte termijn de mogelijkheden van Force Touch zullen na-apen.

Alles staat of valt met de uitvoering, en voor zover ik tot dusver heb kunnen zien is de Force Touch-trackpad onberispelijk geïmplementeerd. Hij doet het gewoon, en is een welkome aanvulling op de MacBook-lijn. Ik hoop dat Apple het ook voor Mac-desktopgebruikers mogelijk zal maken het Force Touch-feestje mee te vieren, met een geüpdatete Magic Trackpad.

Hoe goed hij ook mag zijn, ik ben nog steeds een muis-man. Maar goed, als belangrijke Mac-apps beginnen met het aanbieden van interessante Force Touch-mogelijkheden die verder reiken dan die van Apple, zou ik me wel eens kunnen bedenken.

Lees reacties op dit artikel of plaats er een | Tweet dit artikel


BusyContacts geeft kracht aan adressenbeheer op Mac

  door Dan Moren: dan@danshotfirst.com, @dmoren
  2 reacties (Engelstalig)

[vertaling: DPF, HR]

Over het algemeen is adressenbeheer niet een gebied waarvoor veel mensen warmlopen, maar zelfs ik, met mijn bescheiden wensen, moet toegeven dat de eigen oplossing van Apple, Contacten, tekortschiet. Gelukkig zijn er alternatieven. Nu heeft BusyMac, de fabrikant van het geweldige BusyCal, een nieuwe uitdaging gevonden op dit gebied met het $ 49,99 kostende BusyContacts.

Misschien heb je niet alle mogelijkheden van BusyContacts nodig, want het programma kan nogal wat. Maar als je je beperkt voelt door Contacten van Apple (of gewoon een hekel hebt aan de interface, zoals TidBITS-uitgever Adam Engst), heeft het programma misschien wat oplossingen voor je. Vooral als je contacten wilt delen met anderen, bijvoorbeeld in een klein bedrijf, of als je je contacten met mensen wilt vastleggen en beheren, is BusyContacts waarschijnlijk het antwoord op je problemen.

Ik heb zelf niet alle mogelijkheden van BusyContacts nodig, maar de verbeteringen ten opzichte van Contacten zijn zo talrijk en fijn, dat ik me afvraag of ik er niet beter aan doe om over te stappen.

Gelukkig is het geen onomkeerbare stap. BusyContacts bouwt voort op de ingebouwde database van OS X, dus het enige wat je hoeft te doen is het programma toestemming geven om die contacten te openen. Alles wat je in BusyContacts aan de database verandert, zal ook zichtbaar zijn in Apple Contacten (ervan uitgaande dat er een overeenkomstig veld is).

Maar BusyContacts gaat verder dan integratie met de contacten die je in het programma van Apple opslaat. Net zoals met de ingebouwde app Contacten kun je ook gegevens halen van diensten als Google, Yahoo en Office 365, aangevuld met Exchange of een CardDAV-server. En omdat dit de tijd is van de social media, kan het programma natuurlijk ook contacten van Twitter, Facebook en LinkedIn halen.

Het zien van contacten van verschillende bronnen kan verwarrend zijn, hoewel BusyContacts je in staat stelt om adreskaarten te koppelen op de verschillende diensten, als ze bij dezelfde persoon horen. Je ziet dus niet (zoals in de bovenste schermafbeelding) zowel Jan Janssen van Facebook als Jan Janssen van Google, maar een gecombineerde versie (zie de onderste schermafbeelding). (De gegevens worden niet permanent samengevoegd, maar ook dat is mogelijk, mocht je dat willen.)



Ik vind het erg prettig dat er een kleurcode is voor de verschillende accounts, zodat je snel kunt zien waar de informatie vandaan komt. Dit gebeurt zelfs op detailniveau: als je een adreskaart bewerkt, zie je aan de iconen naast de velden waar de specifieke gegevens vandaan komen.


Het voelt een beetje eigenaardig om Twitter in mijn adresboek te integreren, omdat ik niet iedereen van Twitter daadwerkelijk ken. Het is maf om beroemdheden naast mijn moeder of ex-baas te zien staan.

Maar gelukkig heeft BusyContacts daar handige filter- en tag-tools voor. Tags werken als groepen: je kunt een aantal criteria instellen, en je ziet dan alleen de contacten die aan die criteria voldoen. Maar het gaat verder: in tegenstelling tot bij Contacten, waar je maar één criterium kunt instellen voor slimme groepen, kun je bij BusyContacts meerdere criteria gebruiken. Je kunt bovendien die adreskaarten zien die voldoen aan één criterium, alle, of geen. Bovendien kun je criteria aanmaken die bij Contacten niet mogelijk zijn, zoals adressen die geen foto hebben.


Een andere krachtige mogelijkheid van BusyContacts is de activiteitenlijst. Die maakt een koppeling met andere apps en diensten om je een overzicht te geven van wat je met dit contact hebt gedaan, door relevante agenda-gebeurtenissen, e-mailberichten, Twitter- en Facebook-activiteiten, en Berichten te tonen. Daardoor kun je eenvoudig in je communicatie zoeken om te zien wanneer die afspraak ook alweer was, of wanneer de laatste keer was dat je met iemand gesproken hebt.


Die lijst heeft wel een aantal beperkingen. Zo kun je niet de volgorde van de onderdelen veranderen, door bijvoorbeeld agenda-gebeurtenissen onderaan en Berichten bovenaan te zetten. Bovendien gebruikt het programma alleen de gegevens van BusyCal, in kijkt niet in de database van Apple. BusyCal moet ook openstaan. Anders zie je alleen een koppeling "Show Calendar Events", die BusyCal opent als je erop klikt.

Ik ontdekte bij het testen van BusyContacts een paar andere merkwaardigheden. Je kunt bijvoorbeeld een handig "lokale tijd"-veld toevoegen aan contactgegevens, wat je, voordat je je neef in Londen belt, helpt herinneren dat het daar misschien wel in het midden van de nacht is. Maar om dat te doen, kijkt BusyContacts naar het kengetal van het eerste telefoonnummer in de contactgegevens. Ik heb nogal wat vrienden die hun mobiele telefoon van hun studie of vorige baan hebben gehouden, en die zijn vaak tijdzones verwijderd van waar ze nu wonen.

Ik zou ook graag willen dat de informatie in de contactgegevens van BusyContacts makkelijker te herschikken was. Het verschuiven van telefoonnummers vereist een frustrerend knip-en-plakgedoe. Het zou mooi zijn als, in het voorbeeld hierboven, ik simpelweg het thuis-telefoonnummer van mijn vriend naar de bovenkant van de lijst zou kunnen slepen.

Tenslotte iets over delen. Hoewel BusyContacts het mogelijk maakt dat meerdere gebruikers (bijvoorbeeld, jij en je partner) een adresboek delen, moet het werken binnen de beperkingen van de diensten zelf. In het geval van Google en iCloud, bijvoorbeeld, moeten beide gebruikers op elk apparaat dat BusyContacts gebruikt ingelogd zijn op hun accounts. Delen via je lokale netwerk werkt, maar is beperkt tot lokale adresboeken, die niet met een iPhone gesynchroniseerd kunnen worden.

Dat brengt mij, als iemand die meerdere Macs gebruikt, op een andere bezwaar: BusyContacts werkte prima nadat ik het geïnstalleerd had op mij MacBook en mijn iMac, maar de installatie is nogal een gedoe, omdat ik in ieder account op beide machines moest inloggen. Het zou fijn zijn als de inlogprocedure op een tweede Mac vlotter zou kunnen verlopen.

En ten gevolge van de beperkingen van iOS is het ook niet eenvoudig om de voordelen van BusyContacts op je iOS-apparaat te krijgen. Er is geen manier om makkelijk je volledige BusyContacts-database te synchroniseren met je iPhone of iPad zonder al je contacten samen te voegen in een van je synchronisatie-accounts (zoals iCloud, Google of Exchange), met wellicht onbedoelde gevolgen, of door een dienst zoals Fruux te gebruiken om je al je synchronisatiezaken te beheren. Wat werkelijk nodig is, is een versie van BusyContacts voor iOS zodat ook die gebruikers de voordelen van de Mac-versie kunnen genieten.

Is BusyContacts iets voor jou? Het hangt ervan af, hoe intensief je je contactenlijst gebruikt. Als het in jouw werk belangrijk is dat je al je gesprekken met mensen vastlegt, dan is BusyContacts zeker een verbetering ten opzichte van de producten van Apple. En als je al een gebruiker bent van BusyCal, dan zal BusyContacts je zonder twijfel goed liggen, zeker gezien de samenwerking tussen de twee. Net zoals BusyCal zijn plek heeft gevonden als de pro-versie van Apples Calendar, probeert BusyContacts hetzelfde te doen ten opzichte van Contacten.

BusyContacts 1.0 kost nieuw $ 49,99 rechtstreeks van BusyMac of via de Mac App Store, maar upgrades, volumekorting en speciale aanbiedingen zijn alleen via BusyMac beschikbaar. Bijvoorbeeld: gebruikers van BusyCal kunnen sidegraden voor $ 29,99, meerdere licenties kunnen tegen korting worden toegevoegd, er is een onderwijskorting van 20 procent en BusyContacts en BusyCal kunnen samen worden aangeschaft voor $ 79,98.

Lees reacties op dit artikel of plaats er een | Tweet dit artikel


Apple Pay ontmaskert onveilig bankbeleid

  door Rich Mogull: rich@tidbits.com
  5 reacties (Engelstalig)

[vertaling: PAB, JO]

On 2 maart 2015 meldde The Guardian dat Apple Pay last had van een ongewoon hoge mate van creditcardfraude. Het bericht van The Guardian leek gebaseerd op een blog-artikel van Cherian Abraham uit februari, en ik was in eerste instantie sceptisch over beide. Maar consultatie van personen diep in de financiële sector brachten al snel aan het licht dat er inderdaad een verhoging was van fraude... en geen tekort aan beschuldigingen.

Dit is om twee ogenschijnlijk tegenstrijdige redenen een fascinerende kwestie. Apple Pay is een van de veiligste betaalmethoden in de Verenigde Staten, zo niet de veiligste. En toch brengt het bestaan ervan enorme tekortkomingen in het betalingsverkeer aan het licht. Laten we eens onderzoeken waarom en hoe sommige minder bekende mogelijkheden van Apple Pay fraude drastisch zouden kunnen verminderen, als meer banken ze zouden toepassen.

Creditcards in de Verenigde Staten verschillen van creditcards in bijna elk ander land. In de V.S. kennen we iets dat bekend staat als "nul aansprakelijkheid". In federale wetgeving is vastgelegd dat creditcard-houders aansprakelijk zijn voor slechts $ 50 aan frauduleuze aankopen, terwijl debitcard-gebruikers [zoals onze PIN-passen - nvdv] aansprakelijk zijn voor maximaal $ 500. Maar de meeste banken bieden een grotere bescherming dan wettelijk vereist is. Als iemand jouw kaart (of kaartnummer) frauduleus gebruikt, en je dit binnen een redelijke termijn meldt, wordt je niet aansprakelijk gehouden voor de fraude. In plaats daarvan betaalt de onderneming en de betalingsverwerker die de transactie afgehandeld heeft, de kosten van de fraude (bijna altijd de onderneming). Dus als iemand jouw kaartnummer steelt en gebruikt om iets online te kopen, en je merk dit binnen een paar maanden, laat je de betaling terugdraaien en betaalt de online winkel de kosten.

Hetzelfde geldt als de kaartmaatschappij (Visa, MasterCard, American Express enzovoorts) of de uitgevende bank de fraude zelf opmerkt via hun interne systemen. Althans als de transactie niet al op het verkooppunt tegengehouden was. Die fraude-detectiesystemen zijn erin geslaagd de mate van fraude ondanks massale schendingen bijna historisch laag te houden, maar als ik mag vertrouwen op gesprekken die ik heb gevoerd met een aantal managers in de sector, zijn de aantallen nu voor het eerst in meer dan een decennium weer gestegen.

Dit is precies het tegenovergestelde van de situatie in de meeste andere landen, waar de kaarthouder verantwoordelijk is voor de fraude. Weinig andere landen hebben "nul aansprakelijkheid" gegarandeerd, hoewel veel banken wel bescherming tegen fraude als argument noemen om hun kaarten te gebruiken. Dit is een van de belangrijkste redenen waarom de meeste andere landen gebruikmaken van geavanceerdere creditcard-beveiligingstechnieken, waaronder kaarten met Chip- en PIN-systemen en mobiele betalingen. Ondertussen blijft de Verenigde Staten vertrouwen op eenvoudige kaarten met een magnetische strip en handtekening, die ongelooflijk gemakkelijk te vervalsen zijn. Als consumenten een grotere aansprakelijkheid dragen, wordt veiligheid een essentieel verkoopargument.

Ik ben natuurlijk de kwestie aan het vereenvoudigen. Er zijn eigenlijk meerdere verschillende soorten betalingstransacties, elk met verschillende eisen voor de verwerking. Een Chip- of PIN-kaart biedt niet noodzakelijkerwijs een betere beveiliging bij een online aankoop (in jargon: "cardholder not present") dan een magneetkaart, en de meeste Amerikaanse Chip- en PIN-kaarten hebben ook nog een magnetische strip. De systemen gaat hiermee om met verschillende validatie-eisen, betalingslimieten, fraude-analyses en transactiekosten. Dat is de reden waarom er, als je online koopt, doorgaans naar je factuuradres en de CVV (card verification value, kaart-verificatienummer) op je kaart gevraagd wordt. Deze worden niet opgeslagen op de magneetstrip of in de betaalchip. Dit bewijst idealiter dat je de kaart in de hand had en informatie weet die niet beschikbaar zou zijn als iemand de kaart geskimd had.

Van doelwit naar Apple Pay - Apple Pay is ongelooflijk veilig, omdat het nooit je werkelijke creditcardgegevens zelf opslaat. In plaats daarvan wordt (als je de kaart registreert) een wegwerp-token naar je iPhone of (binnenkort) Apple Watch verzonden. Daar wordt het opgeslagen in dezelfde super-beveiligde "Secure Element"-chip die gebruikt wordt voor andere mobiele betalingen en sommige kaarten. Daarna is er weinig blootstelling voor een opgeslagen creditcard. Zelfs als iemand je iPhone steelt, kan je bank het token ongeldig maken zonder dat ze je een hele nieuwe creditcard moeten sturen (zie "Apple Pay wil de betalingsindustrie opschudden", 9 september 2014).

De zwakke schakel, zo blijkt, is het proces om je kaart te registreren bij Apple Pay (jargon: "onboarding"). Apple bouwde een raamwerk, geen nieuw betalingssysteem, en Apple bemiddelt alleen in de verbinding tussen je iPhone en je bank. Jouw bank wordt verondersteld te valideren dat je bent wie je zegt te zijn, op basis van het registratieproces van Apple Pay.

Op het moment dat je je creditcardgegevens invoert, worden ze door Apple versleuteld en doorgestuurd naar een eigen server. Vervolgens wordt (op basis van het kaartnummer) uitgezocht om welke creditcard-aanbieder het gaat, worden de gegevens opnieuw versleuteld, en zendt Apple deze naar jouw bank om daar te worden geverifieerd. Zoals te lezen op de ondersteuningssite van Apple en nader uitgewerkt in de iOS Security-Guide, zal Apple nog meer informatie aan jouw bank sturen. Hier een fragment uit deze gids, waarin het proces beschreven wordt:

Bovendien zal Apple, als onderdeel van het Link and Provision-proces, bepaalde informatie over het mobiele apparaat delen met de bank of met het netwerk dat de creditcard uitgeeft. Het betreft bijvoorbeeld de laatste vier cijfers van het telefoonnummer, de naam van het apparaat, en de lengte- en breedtegraad van zijn locatie op het moment dat de overschrijving plaatsvond (afgerond op hele getallen). Op basis van deze gegevens bepaalt jouw bank of de kaart bij Apple Pay geregistreerd kan worden.

De bank kan onmiddellijk een positieve beslissing nemen, of besluiten dat er extra verificatiestappen nodig zijn, zoals het sturen van een e-mail of sms naar een adres dat zij in hun administratie hebben. De beslissing om de Apple Pay-registratie al dan niet te aanvaarden is geheel aan de desbetreffende bank. Desalniettemin is het een volkomen nieuw proces, dat nooit eerder op een dergelijke schaal in Amerika is getest.

Diefstal van creditcards neemt sterk toe, en er zijn in de afgelopen paar jaar al tientallen miljoenen nummers van kaarten buitgemaakt. In veel gevallen zijn met die informatie geen frauduleuze transacties gedaan. Maar de nummers van gestolen creditcards worden overal op het internet verhandeld, waarbij extra geld gevraagd wordt voor kaarten waarvan veel informatie bekend is, zoals het CVV-nummer en het adres van de eigenaar, gegevens die meestal via skimmen van pinapparaten, of uit databases van winkelbedrijven gestolen zijn, ondanks het feit dat deze gegevens niet eens bewaard zouden mogen worden. Hierdoor is het, nadat er een groot veiligheidslek aan het licht gekomen is, voor banken altijd een soort gok. Banken maken een afweging tussen enerzijds de kosten van het vervangen van creditcards (print- en verzendkosten, kosten die samenhangen met het verliezen van een klant, en het tijdverlies door het opnieuw registreren van kaarten voor herhalende transacties) en anderzijds de kans op fraude.

Banken zijn zelf verantwoordelijk voor het opstellen van de procedures in dit registratieproces. Sommige banken zijn strikt, andere minder, en een aantal banken lijkt nog niet goed nagedacht te hebben over de risico's van fraude bij het registreren van kaarten bij Apple Pay. Deze problematiek lijkt op de problemen die Apple tegenkomt wanneer mensen een iCloud-account willen overnemen. (Zie ook ons artikel "Jij bent Apples grootste beveiligingsrisico", 14 oktober 2014). Zeker weten dat iemand is wie hij zegt te zijn, is in gewone procedures tussen levende mensen al moeilijk genoeg, laat staan in het (anonieme) internetverkeer.

De kern van alle berichten over fraude rondom Apple Pay is terug te brengen op het lastige registratieproces en al die gestolen creditcards. De slechteriken hoeven daardoor geen nep-creditcards te printen. Ze hoeven alleen maar genoeg informatie te stelen, zodat ze een nep-creditcard bij Apple Pay kunnen registreren. Bepaalde banken lopen meer gevaar dan andere, afhankelijk van de kwaliteit van hun registratieproces. Aangezien Apple Pay zelf een behoorlijk veilig en betrouwbaar betaalproces is, wordt fraude eenvoudiger als een fake-creditcard eenmaal in het systeem geaccepteerd is.

Deze situatie kon je al lang van tevoren zien aankomen, en zelfs de meest basale vorm van simulatie had de mogelijke problemen en oplossingen naar voren gebracht. Het is duidelijk dat de grootste fout bij de banken ligt, aangezien zij al die gestolen kaarten niet gedeactiveerd hebben. Bovendien maken ze ook nog eens fouten bij het Apple Pay-registratieproces.

Aan de andere kant zijn er ook mensen in de wereld van het betalingsverkeer die stellen dat ze door Apple zwaar onder druk gezet zijn om zo snel mogelijk in een rijdende trein te springen, en geen tijd kregen om extra beveilingsmaatregelen in te bouwen. Er heerst in de bancaire wereld een zekere bitterheid, terecht of niet. Maar het zou mij niet verbazen als directies van banken zelf de druk om er snel bij te zijn opgevoerd hebben, terwijl het registratieproces nog niet in orde was.

Het komt erop neer dat de beveiliging van Apple Pay, de snelheid en het gemak van het proces nu een nieuwe stress-test voor de banken geworden zijn, waarin zwaktes in processen en besluitvorming die eerst nog aanvaardbaar waren, nu sterk naar voren komen.

Een tijdelijke situatie - Apple is ondertussen druk in gesprek met de banken om te kijken hoe ze dit hele proces kunnen verbeteren en fraude kunnen voorkomen. Niet alle banken hebben even sterk te lijden onder fraude, dus de problematiek is niet onoverkomelijk. Het zal waarschijnlijk niet lang meer duren voordat alle banken de speling uit het systeem gehaald hebben, en de aantallen nep-registraties tot een aanvaardbaar niveau teruggebracht zijn.

Wellicht bouwen banken vanaf nu extra stappen in, niet alleen om te zorgen dat gestolen creditcards niet meer bij Apple Pay geregistreerd kunnen worden, maar ook om creditcard-fraude in het algemeen terug te dringen. Op dit moment heb ik drie verschillende kaarten bij Apple Pay geregistreerd, maar mijn American Express-kaart valt in positieve zin op. Telkens als ik een betaling doe, stuurt American Express mij een push-notificatie. Dit gebeurt bijna onmiddellijk, wat het vrijwel onmogelijk maakt dat iemand een betaling met mijn creditcard doet zonder dat ik er meteen van op de hoogte ben. Deze meldingen komen bij iedere transactie, niet alleen bij die van Apple Pay.

Misschien hebben de slechteriken nu even een buitenkansje, maar ik ga ervan uit dat dit niet lang meer zal duren. Banken zullen hun registratieproces strak organiseren, Apple Pay zal bijdragen aan een vermindering van creditcard- en creditcardnummerdiefstal, en er zullen meer banken komen die gaan werken met push-notificaties voor al hun transacties. Het eindresultaat zal minder fraude over de hele linie zijn.

Lees reacties op dit artikel of plaats er een | Tweet dit artikel


TidBITS Volglijst: belangrijke software-updates, 23 maart 2015

  van de TidBITS-redactie: editors@tidbits.com

[vertaling: TK, LmR, RAW]

Safari 8.0.4, 7.1.4 en 6.2.4 -- Apple heeft Safari 8.0.4 voor OS X 10.10 Yosemite uitgebracht, samen met Safari 7.1.4 voor 10.9 Mavericks en Safari 6.2.4 voor 10.8 Mountain Lion met een verzameling WebKit-gerelateerde beveiligingsoplossingen. Alle drie de releases bevatten oplossingen voor 16 gevallen van een kwetsbaarheid in verband met problemen met corrupt geheugen die zouden kunnen leiden tot het onverwacht afsluiten van een programma of het uitvoeren van willekeurige code. (Lees voor specifieke CVE-ID's de toelichting inzake beveiliging bij Apple Support). De updates lossen ook een inconsistentie in de gebruikersinterface op, waarbij een aanvaller bij een geval van phishing een URL verkeerd kon voorstellen. Alle drie de versies van Safari zijn verkrijgbaar via Software-update. (Gratis)

Reacties - Safari 8.0.4, 7.1.4 en 6.2.4

Skype 7.6 -- Microsoft heeft Skype 7.5 uitgegeven, dat het CPU-gebruik door bewegende emoticons behoorlijk beperkt. Het programma om via het internet te bellen en berichten te versturen, verliest nu minder vaak zijn verbinding door App Nap. Ook is er een fout gerepareerd die ervoor zorgde dat het invoerveld soms verdween, een probleem opgelost waarbij het scherm ging knipperen als het venster voor schermdelen uit beeld was, en is het talenpakket uitgebreid met 14 talen (Hindi, Turks, Tsjechisch, Oekraïens, Grieks, Hongaars, Roemeens, Indonesisch, Catalaans, Kroatisch, Slovaaks, Vietnamees, Thais en Maleis). Bovendien vereist Skype 7.5 volgens de toelichting OS X 10.9 Mavericks of later, ook al staat er op de download-pagina "U hebt alleen maar Mac OS X 10.5.8 of hoger, een webcam voor videogesprekken en een microfoon nodig". We hebben dit artikeltje vergeten te publiceren toen het net geschreven was, en Microsoft heeft nu al Skype 7.6 uitgebracht, dat het geheugengebruik vermindert en de maximale hoogte van het chat-invoerveld vergroot. (Gratis, 36,9 MB, toelichting voor 7.5 en 7.6, 10.9+)

Reacties - Skype 7.6

Voila 3.8.3 -- Global Delight heeft Voila 3.8.3 uitgebracht, met ondersteuning voor 64-bit processoren, die de prestaties en de de efficiëntie van dit schermfilm-programma flink zou moeten verbeteren. De update is ook beter in het beheren van het geheugengebruik, en stuurt volledige afbeeldingen naar Skype (in plaats van alleen een koppeling). Verder zijn diverse fouten gerepareerd die te maken hebben met het opnemen van audio, is de menubalk in OS X 10.10 Yosemite alsmede de donkere menubalk verbeterd, en is opnemen op de Mac Pro verbeterd. ($ 29,99 nieuw via Global Delight met 25 procent korting voor TidBITS-leden of via de Mac App Store, gratis update, 30,2 MB, 10.8+)

Reacties - Voila 3.8.3

Beveiligingsupdate 2015-003 (Yosemite) -- Apple heeft Beveiligingsupdate 2015-003 voor OS X 10.10 Yosemite uitgegeven, de tweede beveiligingsupdate van deze maand (zie "Beveiligingsupdate 2015-002 (Mountain Lion, Mavericks en Yosemite)", 10 maart 2015). Deze update, alleen verkrijgbaar voor 10.10.2 Yosemite, gaat weer twee zwakke plekken te lijf die oorspronkelijk onderdeel waren van Beveiligingsupdate 2015-001: de bounds checking van iCloud Sleutelhanger is verbeterd, net als de manier waarop IOSurface omgaat met geserialiseerde objecten. (Beide verbeteringen helpen om het uitvoeren van willekeurige code te voorkomen.) Weer zijn er twee updates: eentje voor Macs van begin 2015 (zie "Nieuwe 12 inch-MacBook voegt zich bij updates van MacBook Air en MacBook Pro", 9 maart 2015) en een tweede voor oudere Macs. (Gratis. 5,3 MB voor 10.10.2 Yosemite en 4,9 MB voor Yosemite op Macs van begin 2015)

Reacties - Beveiligingsupdate 2015-003 (Yosemite)

Typinator 6.5 -- Ergonis heeft Typinator 6.5 uitgebracht, met nieuwe opties die helpen om de systeembrede "slimme vervangingen" van OS X te beheersen, die kunnen leiden tot problemen met expansies die gewone aanhalingstekens gebruiken (maar geen slimme aanhalingstekens). Typinator 6.5 zet slimme vervangingen standaard uit, maar je kunt ze weer aanzetten door te rechtsklikken in een expansieveld en een optie te kiezen uit het Substitutions-submenu. Over aanhalen gesproken: Typinator 6.5 ondersteunt nu de Franse manier van citeren (met dubbele-pijlaanhalingstekens en vaste spaties) voor geneste afkortingen. De update laat ook het bericht "must not be empty" niet meer zien meteen na het maken van een nieuw onderdeel, en verhindert een crash bij de expansie van tekst in het deelvenster van OS X 10.10 Yosemite met de "snelle expansie"-optie aan. Verder lost hij een fout op in het plaatsen van de cursor in apps gemaakt met Fluid, en vermindert hij de hoeveelheid loggen bij bepaalde gebeurtenissen. (Nieuw € 24,99 met 25 procent korting voor TidBITS-leden, 6,9 MB, toelichting, 10.6.8+)

Reacties - Typinator 6.5

Audio Hijack 3.0.3 -- Rogue Amoeba heeft Audio Hijack 3.0.3 uitgebracht, met een sterke vermindering van de latentie voor het geluidsopnamegereedschap. Daarnaast zijn er verbeteringen gemaakt om te verhinderen dat latentie toeneemt. Audio Hijack werd ook getroffen door een fout die gerelateerd was aan de overgang naar zomertijd, en versie 3.0.3 repareert dit, zodat de timers op alle momenten van het jaar correct werken. De update verbetert ook de afwerking van AAC- en ALAC-opnames (zoals het juist benoemen van gesplitste bestanden), voegt een Delete Recording- en een Delete Timer-knop toe aan de Recordings- en de Schedule-tab, zorgt ervoor dat meervoudige selectie van elementen in de Recordings- en de Schedule-tab werkt zoals het hoort, en heeft een reeks aan interfaceverbeteringen. (Nieuw $ 49 met 20 procent korting voor TidBITS-leden, gratis update voor versie 3.0-licenties, $ 25 upgrade vanaf oudere versies, 14,3 MB, toelichting, 10.9+)

Reacties - Audio Hijack 3.0.3

Nisus Writer Pro 2.1 -- Nisus Software heeft Nisus Writer Pro 2.1 uitgebracht, met ondersteuning voor de OS X-functies Automatisch bewaren en Versies. De tekstverwerker bewaart nu de veranderingen in alle open documenten automatisch op de OS X-manier in plaats van met zijn eigen methode, waardoor je nu oudere versies van elk document kunt bekijken en terug kunt halen. De update zet Nisus Writer Pro ook over naar 64-bit, voegt ondersteuning voor iCloud toe, integreert de voorheen afzonderlijke Nisus Thesaurus, en voegt een commando Bewerk > Herhaal toe voor het herhalen van het laatst gebruikte menu- of paletcommando. Verder is er nu de mogelijkheid om een kruisreferentie in te voegen die de naam van de doelbladwijzer laat zien, en zijn er een aantal verbeteringen aangebracht in de macro's (zie voor een algemene functielijst "Nisus Writer Pro 2.0: de bespreking", 8 juni 2011). Bij de hoogtepunten van de lange lijst aan foutreparaties zitten een oplossing voor een potentieel hangen bij het openen van documenten met een bepaalde combinatie van plaatjes in de tekst, het voorkomen van sommige mogelijke crashes gerelateerd aan tekstopmaak, en verbeterd gedrag wanneer de tekstengine van Apple bepaalde fouten tegenkomt. Let op: Nisus Writer Pro 2.1 is nu gesandboxt, waardoor je de app bepaalde extra permissies moet geven voor toegang tot macrobestanden en locaties buiten zijn eigen sandbox-ruimte. De systeemvereisten specificeren nu Mac OS X 10.7.5 Lion of nieuwer, hoewel Nisus Writer Pro 2.0.2 verkrijgbaar blijft voor diegenen die 10.4 Tiger tot en met 10.6 Snow Leopard draaien. (Nieuw $ 79, gratis update, 188 MB, toelichting, 10.7.5+)

Reacties - Nisus Writer Pro 2.1


ExtraBITS, 23 maart 2015

  van de TidBITS-redactie: editors@tidbits.com

[vertaling: HR]

In onze nieuwste lijst koppelingen vertelt Tim Cook over Steve Jobs en de Apple Watch, proberen huidige Photoshop-deskundigen Photoshop 1.0 te gebruiken en verschijnt hoofdredacteur Josh Centers in de podcast Subjective.

Tim Cook over de nalatenschap van Jobs en de Apple Watch -- In een interview met Fast Company beantwoordde Apple-CEO Tim Cook vragen over de nalatenschap van Steve Jobs, de Apple Watch en de toekomst van Apple. Cook verdedigde de Apple Watch door hem te vergelijken met de oorspronkelijke iPod, waarvan criticasters ook het doel en de prijs ter discussie stelden. Voor degenen die zich zorgen maken dat Apple aan het veranderen is, wees Cook op het feit dat Apple ook onder Jobs (die Cook omschreef als "the best flipper in te world") veranderde. Maar hij zei dat de kernwaarden van Apple nooit zullen veranderen.

Reacties

Photoshop-deskundigen proberen Photoshop 1.0 -- Ter viering van de 25e verjaardag van Photoshop vroeg CreativeLive acht Photoshop-experts om een project in Photoshop 1.0 te maken. De video is grappig en laat zien hoe ver fotobewerking (en computergebruik) in de afgelopen kwart eeuw is geëvolueerd.

Reacties

Josh Centers bespreekt Apples aankondigingen in de podcast Subjective -- Hoofdredacteur Josh Centers voegde zich bij gastheer Victor Johnson in de podcast Subjective om te praten over zijn TidBITS-achtergrond, HBO Now, Apple TV, Apple Watch en zijn frustraties over de Mac-lijn.

Reacties


Dit is TidBITS, een gratis wekelijkse technologie-nieuwsbrief met recent nieuws, bekwame analyse en grondige besprekingen voor de Apple internet-gemeenschap. Geef hem gerust door aan je vrienden; beter nog, vraag of ze een abonnement willen nemen!
Niet-winstgevende en niet-commerciële publicaties en websites mogen artikelen overnemen of een koppeling maken indien de bron duidelijk en volledig vermeld wordt. Anderen gelieve ons te contacteren. We kunnen de precisie van de artikelen niet garanderen. Caveat lector. Publicatie-, product- en firmanamen kunnen gedeponeerde merken zijn van hun ondernemingen.
Copyright 2015 TidBITS Publishing Inc. reuse governed by this Creative Commons License.
TidBITS Publishing: 50 Hickory Road, Ithaca, NY 14850, USA 607-216-8248

Vorige aflevering | Search TidBITS | Volgende aflevering
TidBITS English | TidBITS Nederlands